Názor k článku Věříte opravdu jen důvěryhodným certifikačním autoritám? od VS - %PROGRAMFILES%\Mozilla Firefox\nss\certutil.exe Ale certstore u Firefoxu je v uživatelském profilu,...

%PROGRAMFILES%\Mozilla Firefox\nss\certutil.exe
Ale certstore u Firefoxu je v uživatelském profilu, takže je třeba udělat zásah u každého uživatele zvlášť, nejlíp pomocí logon skriptu. Nenašel jsem možnost, jak změnit „systémový“ seznam CA pro Firefox. Možná ani takový není, a ty výchozí se nakopírují do profilu při jeho vytvoření. Nevím, proč FF nevyužívá na Windows systémové úložiště, které je řešené poměrně dobře.
Jinak je dobře, že takový článek vyšel. Sice je popsaný problém známý už dlouho, ale pořád se bezpečnost současné implementace SSL důvěryhodných autorit přeceňuje. Jestliže nějaký ISP může udělat MITM útok, který je pro většinu lidí nedetekovatelný, bezpečné to není.
Věřím v tomto směru v budoucnost technologie DNSSEC, kdy momentálně probíhají diskuse o možnostech využití právě pro ukládání informací o SSL certifikátech.
Pokud bude existovat standard, jak pomocí záznamu v DNS pro danou doménu např. zakázat všechny implicitně důvěryhodné certifikáty a povolit jen určitou CA, nebo do DNS rovnou dát CA certifikát, je šance, že prohlížeče to začnou během několika nových verzí podporovat. Na straně správců serverů by to také nemusel být problém – pro klienty bez podpory toho standardu by se nic nezměnilo.