Dik za rozvedeni tematu.
Fakticky mi jde o to, ze provozuji z nekolika domovu propojenou VPN (OpenVPN) a zatim si generuji certifikaty pres vlastni cert. autoritu.
Myslim ze pokud udrzim tu svou autoritu v bezpeci na diskete a zaroven kazde zarizeni korektne overi pri prvnim spojeni certifikat/fingerprint serveru, tak mohu takovou VPN povazovat za bezpecnou (optikou tohoto parametru komunikace).
Jde mi o to se vyhnout nutnosti prvniho korektniho overeni serveru.
Uvazuji, ze kdyz bych zvolil CA treti strany, tak diky tomu ze ji nemam pod kontrolou, lze uvazovat o situaci kdy nekdo podvrhne certifikat a mohu se stat obeti at uz odposlechu nebo podvrzeni identity jedne stran.
Ted mne napada, ze to by se dalo eliminovat prave tim TLSA nebo jak se to jmenuje. Chapu to ze TLSA explicitne jmenuje otisk/certifikat, ktery je dannemu symbolickemu jmenu prirazen.