Názor k článku Co dál s WoSign? Odebrat důvěru už nestačí od Filip Jirsák - Podle mne ty cross-signed certifikáty nemá v současné...

Podle mne ty cross-signed certifikáty nemá v současné chvíli řešit Mozilla, ale ty certifikační autority, které je vydaly. Ty vydáním cross-signed certifikátu stvrdily, že WoSign postupuje podle certifikační politiky dané autority. Teprve když příslušná certifikační autorita ten cross-signed certifikát nezneplatní, měla by Mozilla začít řešit odebrání důvěry kořenovému certifikátu té autority (protože ve stromu pod tím certifikátem jsou vydávány certifikáty, které nesplňují příslušná pravidla).

Odebírání důvěryhodnosti certifikátům je sice tvrdé řešení, ale celý systém certifikačních autorit je postavený jenom na důvěře. Když k tomu budeme přistupovat způsobem, že když nějaká autorita porušuje pravidla, uděláme na ní bububu a budeme doufat, že se to zlepší, je celý ten systém úplně k ničemu. Zvlášť když jsou si dnes všechny autority rovny a kterákoli autorita může vydat certifikát pro jakoukoli doménu.

Je pravda, že odebrání důvěryhodnosti certifikátu certifikační autority postihne spoustu nevinných držitelů certifikátů, ale zrovna v případě certifikátů pro web je to dnes mnohem menší problém, než dříve, protože si dnes každý může docela snadno a zdarma nechat vystavit certifikát od LE.