> Ох уж эти титеретики. Ох уж эти пальцатые парни. В отличие от тебя я довольно хорошо изучил описание атаки от комодохацкера. Который помнится разнес одну из ауторитей по полной программе и выписал себе сертификаты на все что угодно, вплоть до гугла, скайпа и мозиллы.
> Ты всерьез думаешь, что для этого дела будет покупаться сертификат за деньги?
Я думаю что
1) Поскольку ауторитей куча, риск того что кого-то из них ломанут достаточно высокий.
2) На ряд ауторитей вполне можно нажать.
3) Минимум некоторые из ауторити пойманы на том что выписывали серты для прослушивающего оборудования в ынтырпрайзах и прочая.
Так что в общем случае следует считать что толку с HTTPS ноль целых, хрен десятых.
> что браузеры _клиентов_ не выводят предупреждений. Для своего использования никаких
> покупных сертификатов не нужно, также как и микроскопа для их проверки.
Вот только если кому-то левому выпишут сертификат на мой сервер - без изучения под лупой я нифига не замечу что это не моя ауторитя его подписала, а какой-то левый удостоверяющий центр по желанию своей левой пятки. И чтобы отловить различия - надо именно сертификат с микроскопом изучать. То-есть, теоретически я конечно могу вынести из браузера все сертификаты УЦ, чтобы они не смогли подписывать что попало. Практически при этом https сайтами пользоваться заманаешься потом...
>> Тогда дупло в лесу пожалуй даже лучше :)
> Дупло в лесу это очень хороший вариант, зря вы смеетесь,
Ну так в случае такой паранои - там и вражеский агент на хвосте может наверное быть.
> но не всегда удобный. Например, если получатель и отправитель информации находятся в лесах
> на разных континентах.
А в этом случае вообще есть определенный набор проблем. В том плане что надежно понять что вы имеете дело не с MITM'ом а именно с правильным собеседником - вообще отдельная наука.