Vlákno názorů ke zprávičce Škola nutí žákům vlastní kořenový certifikát od anonym - Nerozumím jak by pouze instalace kořenového certifikátu někomu...

Asi tím myslí, že škola může vystavit falešné certifikáty jakékoli třetí strany, podepsat je tím svým, a jako MITM si pak i se SSL provozem dělat, co chce.
Zdatní a paranoidní uživatelé to odhalí, většina ne.

To je právě ten paradox, v defaultních instalacích začínaj uživatelé s bambilionem předinstalovaných CA u kterých ani netuší kdo je vydal a jaké jsou politiky a automaticky akceptují veškerý provoz na jimi vydaných certifikátech aniž by si ověřili druhou stranu, ale jakmile se tam objeví zřejmě jediná kořenová CA u které vědí o co konkrétně jde, tak je problém...

Jenže u těch předinstalovaných CA to spousta lidí sleduje a pokud CA vydá podvodný certifikát, tak tu CA z prohlížeče odstraní. Zatímco u té školní autority - kdo to bude hlídat, co vydává za certifikáty?

Nesleduje to vubec nikdo ... spousta tech "duveryhodnych" CA ti vyda certifikat na co si reknes, a je jim to naprosto putna. Pokud se nekdo spolejha na to, ze ma nekde v prohlizeci zeleny cosi ... tak je to naivni blb.

Problem skol/firem ... proste neexistuje, oni by si klidne mohli poridit certifikat libovolny autority, ktera v tom prohlizeci uz je ... ale to by prevazne stalo penize/papirovani ... a pro ucely pro jake se to pouzije je to zcela nanic.

Naopak, pokud uz chci nejakymu certifikatu duverovat, tak vyhradne takovymu, kterej si sam naimportuju.

Přesně takhle se to dělá u nás v práci. Zaměstnavatele zřejmě zajímají veškeré detaily, které posílám do internetu. Když jsem se na to ptal, tak říkali, že banky a podobné instituce mají výjimku - a skutečně, moje banka má opravdový vlastní certifikát :)

No to asi ne, protoze vetsina slusnych sluzeb ma podepsanou domenu a falesny certifikat snad poznam ne ?

Tak nutěj je zřejmě proto, že si vydávaj vlastní certifikáty v rámci infrastruktury a bez toho by něco nefungovalo. Taky by mohli začít protestovat, že jim škola přiděluje adresy z jejího rozsahu a že bez toho se nepřipojí k internetu...