Názor k článku Šifrované SNI lepí díru do soukromí, jako první ho bude umět Firefox od j - " ten se zeptá rootu na .cz, ověří...

" ten se zeptá rootu na .cz, ověří dnssec" ... fakt? A to vis jak?

"klient vezme adresu, connectne se tam na 443, dostane server certifikát, ověří chain" ...
klient overi leda velky prdlajs, maximalne zjisti to, ze nekdo nekde nekomu vydal nejakej certifikat na nejakou domenu. Naprosto netusi, jestli ten nekdo ma vubec neco spolecnyho s tou domenou. Narozdil od DANE, kde minimalne vi, ze ten nekdo kdyz nic jinyho ma pristup k domene.

Dokonce je to jeste mnohem horsi. Protoze pokud by ti curou nahodou protistrana predala zcela konkretni certifikat, tak je ti to khovnu uplne stejne, protoze tvuj klient se spokoji se zcela libovolnym certifikatem od libovolny jakoze "duveryhodny" autority, zato z toho predanyho se bude moct doslova posrat.

Jak ty vis, ze sem ty 53 nepovrhnul CAcku a nenechal si vydat cert? Nehlede na to, ze LE se spokoji s umistenim nejakyho soubnoru nekde, takze dostat libovolnej klic = predhodit jim ten soubor. Coz kdyz nic jinyho muze udelat zcela kdokoli na ceste mezi CA a serverem.