Názor k článku Postřehy z bezpečnosti: dva aktualizované bezpečnostní standardy od Filip Jirsák - Certifikát se v HTTPS komunikaci používá proto, abyste...

Certifikát se v HTTPS komunikaci používá proto, abyste věděl, že komunikujete s protistranou, které patří doména, se kterou komunikujete. To, jestli je ta protistrana důvěryhodná nebo ne, certifikáty neřeší – ani to řešit nejde, pro někoho může být důvěryhodný nějaký dark net web, pro většinu důvěryhodný nebude.

No a když důvěřujete nějaké webové stránce, tak jí důvěřujete i v tom, jak zachází s daty, která jí poskytnete. Je to na autorech té stránky, jak to zařídí a zda k tomu použijí skripty na své doméně nebo na jiné doméně.

Jinak co se týče původního diskutovaného problému, tak lidem asi vadí, že taková autorita prý nepůjde vyřadit (já to nařízení nezkoumal).
Autority se dostanou na seznam důvěryhodných autorit dle eIDASu tak, že získají akreditaci. Stejně, jako mohou akreditaci získat, mohou o i také přijít, pokud přestanou splňovat příslušná pravidla. Přičemž certifikáty vydávané těmito autoritami mají v EU (jako jediné) právní váhu, můžete jimi podepisovat smlouvy a jednat se státem. Používání těchto certifikátů je podstatně závažnější, než používání certifikátů ve webových prohlížečích.

Na seznamu autorit v prohlížečích jsou např. i čínské certifikační autority spojené se státem, takže laťka v prohlížečích fakt není nijak vysoká.