Názor k článku Symantec chyboval s EV certifikáty, prohlížeče jim přestanou důvěřovat od Heron - To, že ty nevěříš žádnému OV certifikátu od...

To, že ty nevěříš žádnému OV certifikátu od žádné autority je tvoje věc,

No, ehm, já jim nevěřím na základě vlastních zkušeností. Dělám pár set crt ročně, většina DV, něco z toho je OV a vím, že to ověření je čistě formální, k žádnému skutečnému ověření nedochází. Takže OV je ve skutečnosti ověřen asi tak stejně, jako DV, akorát je dražší a navíc je tam jméno společnosti, takže to u někoho může vzbudit falešný dojem, že je to "lepší" crt a tedy i důvěryhodnější stránka.

Ano, možná existuje autorita, která to bere vážně a která skutečně něco ověřuje, ale to je úplně jedno za situace, kdy si útočník může vybrat méně důslednou autoritu a nechat ten crt podepsat tam. Výsledek je stejný, zkrátka má OV certifikát. (Tohle je klasický případ černé labutě. Klidně si piš kvantifikátory "žádnému od žádné", ale v praxi je to jedno, protože útočník si vybere typicky tu nejslabší CA a stejně bude v prohlížečích důvěryhodný.)

Z hlediska ověření reálného jména je důvěryhodnost DANE nulová, takže těžko může něco být ještě méně důvěryhodné.

Jenže se systémem DANE je to alespoň zadarmo. Zatímco v případě komerčních CA je OV stejně neověřené a ještě za to zaplatíš. V rozumných společnostech se něčemu takovému říká podvod. Dodavatel tvrdí, že něco dodává a nechá si za to zaplatit stejně jako kdyby to dodal, ale reálně to nedodává a zákazníka uvádí v omyl. Klasický podvod.