Názor k článku Stále mám přístup k dalším CA, tvrdí útočník na DigiNotar od turista - To je přece jednoduchý. Stejně jako u SSH....

To je přece jednoduchý. Stejně jako u SSH. Při prvním připojení zkontrolujete otisk nezávislým kanálem, u banky ve smlouvě, kterou jste osobně dostal. U připojení na firemni webmail vám otisk dá admin. Otisky vládních webů mohou např. občas vyjít v novinách nebo být na stránkách v teletextu. A pak už si to prohlížeč pamatuje.

A ty méně důležité, jako nějaký freemail nebo paypal? Tam vám stačí, že je otisk klíč stejný při připojení z různých míst, a je stejný, jako když jste tam šel poprvé.

Obojí je bezpečnější, naž když prohlížeč považuje za důvěryhodný kterýkoliv site s certifikátem od celého dlouhý seznam CA z podivných zemí. Doména cpoj.cz podepsaná čínskou autoritou tak projde bez povšimnutí.