No problemy s vystavenim duveryhodnych certifikatu na nesmyslna jmena/nesmyslnym vlastnikum tu jiz byli.
Ale samozrejme je to z me strany jen spekulace ze je tomu i takto ;-)
HSTS je reseni jen castecne (pouze pokud se pripojujes skutecne k cilove destinaci, na MITM stroji je to fuk). Je strasne trapne snadne si stoupnout mezi klienta a cilovou destinaci, s tim ze jedina vec co poznas, je ze bezis po HTTP, misto HTTPs... kdyz uz mas traffic ;)
Je smutny ze i "odbornici" na tu SSL pohadku veri.
Kolika root CA duverujes? O kolika unicich "podepisujicich" klicu vis? O kolika myslis ze nevis?
Donutit LE aby ti vydal cert pro domenu taky neni zadna utopie.
TOFU bitches!
Ale ani to ti nepomuze cname + redirect, ssl downgrading, stripping.
Ale o tom ten zeleny zamecek je, aby vybudoval viru, ze to je bezpecna + vendor lock-in jako bonus. Ocividne velice uspesne.
Podvrhhout certifikat zas tak jednoduche neni, teda alespon ne v EU kde se nesmi inspectovat SSL provoz.
V USA a Cine je situace obracena, tam provoz inspectovat musis ze zakona, takze na tom chudakovy routrovy mas cert autoritu ktere veris a ta ti vystavuje certifikaty a dela SSL proxy.
Ovladnuti takoveho MITM ti dava 100% jistotu ze nic nerozeznas, protoze Cert autorite sveho routru veris.
na druhe strane je pak minimalni znalost HTTPS u EU administratoru, kazdy ma self sign, a uci uzivatele odkliknout pokracuj dal. (nebudu rozvadet ze pak je to plain http pouze na 443 nebo jinem portu) de o to ze uzivatele na to uz klikaji bez rosmyslu, takze vecinou ani nevi co SSL je a nejspu to schopni rozeznat. (a to i PostSignum ktery mel 3 mesice neplatny certifikat na svich strankach a podpora rikala v pohode, staci kliknou jed dal - to mne skoro chytnul amok)
Ani to ne, souhlas zamestnance z necim co odporuje zakonu ( v tomto pripade smernici EU) je ze zakona neplatny.
maximalne co muzes je omezit provoz na par konkretnich webu (hlavicka je prave z toho duvodu nesifrovane) Jinak obsah SSL musi byt dedotcen od stanuce az po cilovy server.
A pro zamestnance ve firmach kde to i po X letech platnosti smernice nadale admini uspesne ignoruji, zajdete si na prvni policejni stanjci a muzete jit do duchodu.
Hlavne neplette si filtrowani webu (web filtering) a filtrovani obsahu (SSL inspekci)
Hlavicka https://neco.nekam.nekde je nesifrovana z mnoha duvodu a na takovou hlavicku de nasadit web filtering a nejak se k tomu chovat.
Ale obsah co tece v SSL sesion musi byt nedotcen od klienta k serveru.