Legjobb tudomásom szerint, ha én vagyok a céges tűzfal,
- ÉS a céges kliens gépre le van telepítve a megfelelő CA cert
- ÉS én vagyok az egyetlen kijárat, vagyis a DNS válaszokat is tudom módosítani
akkor azzal a CA -val alá tudom írni bármelyik weblapot azonosító kamu certet, és a böngésző el fogja fogadni.
De még ekkor is látni fogom a tanúsítvány láncban, hogy a gmail.com teljesen valid certjét 5 perce állították ki, és a saját cégem CA -ja írta alá, hogy jóvanazúgy.
Namost, ha a FB összekapcsol engem és Gipsz Jakabot, akkor kérdéses, hogy ezt hogyan teszi.
Ha a tőlem GJ felé menő adatfolyamba be tud állni, és csak rajta keresztül tudunk kommunikálni, akkor van esély, hogy Microsoft-skype módra ( https://arstechnica.com/information-technology/2013/05/think-your-skype-messages-get-end-to-end-encryption-think-again/ ) megnézze mi zajlik Gyöngyösön.
Ha viszont csak összekapcsol engem és a cél gépet (például UDP traversallal) és utána már egy teljesen más útvonalon beszélgetek közvetlenül a cél géppel, akkor ott kialakulhat egy egészséges kulcs csere amibe nem áll bele senki, vagyis a végén valóban p2p kapcsolat lesz.
Régen a GPG/PGP -nek is ez volt a rákfenéje, hogy ismerned kellett a partner kulcsát, és ezt vagy személyes kulcs cserélő partikon lehetett megtenni, vagy pedig a különféle "kulcskarikákat" lehetett egymással megosztani, és itt volt a bibi, mert ha egy valakiben megbíztál, pedig nem kellett volna, akkor máris bukta volt.
PKI ide vagy oda, a végén mindig oda jut az ember, hogy az a kérdés, hogy kiben bízik meg az ember.