Vlákno názorů k článku Budou mít všechny phishingové weby platný certifikát? od lol - CA nema riesit co je obsahom spojenia vytvoreneho...

CA nema riesit co je obsahom spojenia vytvoreneho medzi neznamou tretou stranou a tretou stranou ktorej vystavila certifikat. Kto bude rozhodovat co je phishing a co uz nie? Co este by mali posudzovat? Politicku korektnost mailov ktore si niekto prenesie cez spojenie IMAP4@TLS? Je to tunel ktoremu sa da verit ze data ktore donho vosli nikto cestou nevidel a nezmenil. Nic menej a nic viac. U DV certifikatoch sa neda z principu ani verit tomu ze certifikat je vystaveny vlastnikovi domeny.

Osobne by som radsej videl plosne nasadene DANE nez LetsEncrypt, ale to ze ludia predpokladaju ze ikonka zamku znamena viac nez je je len problem nepochopenia a chybajucej osvety.

Naprostý souhlas. Tady jde o nepochopení smyslu certifikátu. Je to jenom záruka toho, že je šifrované spojení mezi klientem a serverem.
Certifikační autorita je zde pak jen od toho, aby řekla "ano, tento server má opravdu tento certifikát". Před LE jsem používal self-signed s vlastní CA a uživatelovi stačilo jenom zkontrolovat fingerprint (opruz). Teď to akorát za něj udělá LE.
CA nesmí mít jiné úkoly než zajistit šifrované spojení mezi klientem a serverem.
"ale to ze ludia predpokladaju ze ikonka zamku znamena viac nez je je len problem nepochopenia a chybajucej osvety" +1 zvláště když se kompletní adresy v některých prohlížečích samy skrývají (asi aby nerušily uživatele).

Můžete vysvětlit jak se dá snadno bez certifikátu zajistit šifrovaného spojení mezi klientem a serverem s kontrolou, že do těch dat nikdo po cestě nezasáhl?