Názor k článku Co dál s WoSign? Odebrat důvěru už nestačí od Heron - Ne, ssh klient se mě při prvním připojení...

Ne, ssh klient se mě při prvním připojení zeptá, zda je to opravdu ten server, na který se chci připojit. A zobrazí fingerprint klíče toho serveru. Já jej ověřím a dám yes, pokud to sedí. Nebo jej dopředu dám do known_hosts. Tedy úplně stejně, jako se zachová webový klient, když jdu na nějaký https web s neznámým crt. Musím ověřit fingerprint a nebo si dát crt toho webu do důvěryhodných.

Navíc u ssh je to ověření oboustrané, protože na tom serveru musím mít svůj klíč, jinak se tam nepřihlásím. Na webu je bohužel přihlašování pomocí osobního certifikátu jen velmi výjimečné.

U ssh lze mít podepsané crt od ca, akorát se to moc nepoužívá. Takže chování těch věcí je vlastně úplně stejné, pouze s tím rozdílem, že na webu se víc používají crt od (důvěryhodných) ca, zatímco u ssh příliš ne. Ale lze to.

MTA taky dorucuje sifrovane, a je mu uprdele i to, ze vsechny ty klice sou davno expirovany.

Klíč expirovat nemůže, protože nemá date, ale pokud někdo akceptuje neplatný crt tak je to jeho problém. Opakuji problém, vydávat to za normální stav nebo snad výhodu nelze.

Vůbec celé to tvoje osmibodové desatero by se v podstatě dalo přeložit: "chci aby to fungovalo, kdysi jsem to nějak nastavil, už nevím jak, a už mě s tím neotravujte." Případně ještě hůř: "těším se na data všech těch klientů, kteří se připojí na můj mitm server a vůbec nic uživateli neřeknou".

je zcela v bezpeci, tak muze libovlna CA kterych ma v systemu desitky, vydat libovonej dalsi

No to je samozřejmě známý problém a právě proto je nutné všechny CA, které se dopustili takto závažného pochybení, z těch prohlížečů vykopnout. Ale tento problém se rozhodně nevyřeší tak, že prohlížeč bude úplně všechno ignorovat, jak neustále dokola opakuješ.