Názor k článku AlwaysOnSSL: bezplatná autorita s certifikáty na jeden rok od Filip Jirsák - Jak už jsem psal, na seznamy důvěryhodných certifikačních...

Jak už jsem psal, na seznamy důvěryhodných certifikačních autorit spoléhá celý svět. To spoléhání se, důvěra, to je role certifikačních autorit. To, že si jeden správce jednoho serveru vybere důvěryhodnější CA, nezmění nic na faktu, že v těch seznamech důvěryhodných certifikačních autorit budou i méně důvěryhodné autority.

Představte si třeba situaci, kdy by se mezi těmi důvěryhodnými autoritami vyskytla taková, která dá certifikát na libovolnou doménu každému, kdo si o něj požádá. Jistě, odpovědný správce serveru root.cz si certifikát od takové autority vystavit nenechá. Ale tím se nic nevyřeší, když si ten certifikát na jméno root.cz u té autority můžu nechat vystavit třeba já.

Problémy s revokací certifikátu jsou jen slabší varianta téhož. Mezi důvěryhodné autority se může dostat taková, která zavede nový způsob ověřování vlastnictví domény přes webový server, s nímž nebude každý počítat – vymyslí si nějakou vlastní „well-known“ cestu. Admin/provozovatel nějakého serveru se svědomitě této autoritě vyhne, ale nějaký redaktor, který má právo umístit soubor do příslušného umístění, si iniciativně nechá od této nové autority vystavit certifikát. Když se na to přijde, může spolupracovat, ale když bude problém u CA certifikát odvolat…