Názory k článku
Mozilla a Google blokují podvodné certifikáty od CNNIC

zda by certifikační autorita, která zcela zjevně poruší pravidla ověřování a umožní vydání falešných certifikátů neměla být trvale odstraněna ze seznamu důvěryhodných certifikačních autorit.

Tak sem si ji smazal ...

Ona existuje nejaka "duveryhodna" CA? Ja zadnou takovou neznam, jen vim, ze sebou jak system, tak prohlizece tahaji seznam neceho, cemu jako nekdo pry duveruje. Osobne o 10 radu vic duveruju selfsigned certifikatu, protoze ten si sam ulozim, a okamzite vim, kdyz je jinej.

pri selfsigned mas problem s distribuciou, musis riesit bezpecne odovzdanie public casti kluca resp. aspon jeho odtlacku co nemusi byt uplne trivialna zalezitost.

Skus mi ozrejmit preco PUBLIC cast kluca musi byt odovzdavana BEZPECNE? Nie je ona PUBLIC preto ze moze byt PUBLIC/VEREJNA?

To je (nechtěně vtipné) nepochopení celé věc. Když jdete na web řekněme alza.cz a chcete tam nakoupit, je vám self-signed certifikát toho webu na nic. Vůbec totiž netušíte, jestli ho vystavil opravdu majitel toho webu, nebo se vám někdo snaží podstrčit falešný self-signed certificate. Certifikační autority vystaví certifikát na základě doložené identity zákazníka. Extended Validation Certificate (ten co probarví URL bar broweru na zeleno) navíc vyžaduje důkladné ověření právnické osoby.

Jinými slovy certifikační autority jsou tu od toho, abyste věděl, že certifikát opravdu patří tomu na koho je vystavený. Problém nastává ve chvíli, kdy certifikační autority vystavují certifikáty bez důkladného ověření náležitostí. Pokud si například Jožo nechá vystavit certifikát www.microsoft.com, kde první 'o' je z azbuky (to se opravdu stalo), tak certifikační autorita selhala.

Zabudol ste na USA a Nemecko, ktori tiez odpocuvaju vsetkych a vsetko.

Neni to primo vydane CNNIC-em, ale od intermediate CA MCS Holdings. MCS Holdings to pouzila v MitM proxy misto aby vydavala certifikaty "normalnim zpusobem".