Azért ezen felül Salcay-nak igaza van, hogy maga a PKI van elbaszva, mert nem tudod egy-egy CA hatalmát korlátozni pl. megmondani, hogy melyik TLD-kre adhat ki certet. Ha alá van írva és az aláíró cert benne van a trusted store-ban, akkor biztos stimmel.
És persze ezt mindig az ingyenesek ellen hozzák fel, pedig ugyanúgy probléma bármelyik másik szolgáltatónál. Valószínűleg lehetne találni olyan nagy múltú, megbízható és az összes böngésző által megbízott CA-t, amelyik annyira felületesen ellenőriz, hogy kis ügyességgel ki tudj tőlük kérni egy EV certet...
Persze ott van erre az értelmes megoldás (DNSsec + DANE TLS, ami ráadásul több rétegben védene... pl. többek közt pont a DNS poisoning ellen), amit senki nem használ, mert a G nem szereti a decentralizált dolgokat; de nagyon jó, mert a fél világot körbe lehet helyette taknyolni, hogy látszat megoldásokkal (HPKP, CAA record, certificate transparency stb.) egy bizonyos use case (Béla beírja a böngészőbe az oldal címét és megnyitja) néhány attack vector ellen védett legyen.
--
És egyébként Salcay eredeti kérdésére válaszolva: az égvilágon semmi, kivéve, ha a célpontod DNSsec aláírt zónát használ [buktad a DNS poisoningot] és publikál CAA rekordot a saját CA-jával [buktad a "magamhoz irányítom a forgalmukat és a LE kéréseit én szolgálom ki" megoldást, mert az LE már kérni sem fog]. Egyébként pedig az LE (feltehetően szemben több "nagy múltú, megbízható és biztonságos blablabla" CA-val, amelyik DV certet ad, direkt úgy intézi, hogy egy-egy ellenőrzés akárhonnan jöhessen, világ szinten kéne forgalmat elterelned, mert nem tudhatod, hogy honnan várjad)
--
Szép hosszú rejtett subscribe voltam.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)