Vlákno názorů k článku
Turktrust subCA vydala falešné certifikáty k *.google.com, *.android.com a dalším od Andrej Kvasnica - ...ako napisal @moxie - robit MITM utok a...

Není pravda.

Každá vláda, resp. její exekuční složka ví, že nelze jenom tak odposlouchávat všechny plošně, jinak by je rychle odhalily. Írán je z téhle statistiky "outlier", od něj se poučily všechny "demokratické státy" (ta část s DigiNotar, GlobalSign, atd.). Jinak řečeno, dělat útok na technicky zdatné lidi, které používají napřiklad Perspectives, by byla "technická sebevražda" (by to velmi rychle napastovaly na ty internety).

Pointa: útok se musí dělat na lidi, kteří nerozumí SSL/TLS. To není chyba těch lidí - SSL/TLS je dost šíléné a když se podíváte do IETF TLS WG, co za standardy jsou navrhovány, není to o moc lepší. Technicky jsou možná lepší, ale zkuste třeba vysvětlit na hotelu, že captive portal je z definice útok. Poslední reakce byla "Sie machen es so kompliziert!"

Pointa2: i když některé praktiky Google fakt nemusím, dost jim fandím co se týče IETF (Benovi a Adamovi především s Certificate Transparency).

N.B.: Moxieho si vážím hodně, ale v mnoha přednáškách je "overhyped", včetně TACK.