Ha jól emlékszem arról szólt, hogy x cég hanyagságból nem ellenőrzi le, hogy te xy vagy-e és xy nevében kiállít neked certet pedig te yz vagy... DE ez most itt nem erről szól, csak hasonló volt a téma, mert itt is "név lopásról" van szó
Ezt a dolgot (már ha jól értem) pistike is eltudja játszani, ha van egy rendesen aláírt certje, azzal aláírhatja a sajátját. tehát aláírt certtel aláírni. a google-nél láttam épp, hogy "Google Internet Authority G2" certtel írta alá a google.com certjét. De ez a cert nincs a böngészőben, csak a legfelső: "Geo Trust CA" és a böngésző elfogadja, hitelesnek jelöli.
A "saját CA jobb" felkiáltásom azt feltételezi, hogy nincs semmi a böngészőben, csak a saját CA. Akkor ugye a fenti eset nem megoldható, csak akkor jelez a böngésző, ha valami nem stimmel.
Ha minden weboldal úgy működhetne, hogy új böngészővel első látogatáskor lekéri a CA-t, tárolja majd soha többet nem kér, akkor elvileg kisebb lenne a valószínűsége, hogy adatlopó oldalra jutsz. Persze ha épp a legelső lekérést térítik el, akkor az már gáz...
Remélem érthetőbben fogalmaztam ezúttal :)
--
openSUSE 12.2 x86_64