Názor k článku Postřehy z bezpečnosti: Microsoft (zřejmě) zjistil, jak přišel o klíč od Filip Jirsák - Coz zvladne kazde male dite ktere zvlada email....

Coz zvladne kazde male dite ktere zvlada email. Sectigo ... staci ti email na domene pro kterou chces cert. Asi ti nevydaj cert na proflaknuty domeny (google ....) ale na jakoukoli jinou lusknutim prstu. Ve skutecnosti ti staci kdyz ses z toho emailu schopen ziskat link. Takze nemusi byt ani tvuj a staci ti na to par vterin u neciho emailu.
Když to zvládne každé malé dítě, proč to nezvládnete vy? Nestačí vám libovolná e-mailová schránka na dané doméně – Sectigo pro validaci používá jenom pět vyjmenovaných názvů schránky. Takže vám nestačí pár vteřin u něčího e-mailu, ale muselo by to být u e-mailu admina dané domény nebo webu. Aby vás nějaký admin nechal u svého e-mailu, musel by být podobný nedouk, jako vy. A takovému adminovi byste podobným způsobem nejspíš dokázal ukrást i celou doménu (teda vy ne, ale někdo jiný).

No a pak tu máme třeba CAA DNS záznam, kterým můžete určit, kdo může pro danou doménu vydávat certifikáty. Takže si se Sectigo neškrtnete, pokud je příslušná doména sama nepoužívá – a pokud ano, asi její správce ví, že si má e-maily pohlídat.

No a pak tu máme ještě Certificate Transparency, ze kterého byste se o falešném certifikátu dozvěděl. Tedy vy ne, ale někdo, kdo problematice rozumí.

A to je jen priklad ... takze mi povidej, jak strasne nemozny je ziskat henten "duveryhodny" cert.
Celou dobu je řeč o certifikátech pro podpis softwaru. Vy jste najednou přišel s DV certifikáty. Proč? Odpovím si sám – protože nechápete rozdíl.