W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
A jak byle niewiadomo jaki niezweryfikowany ktoś może dostać dobry, zaufany przez wszystkie przeglądarki certyfikat...
Czyli tak jak jest teraz...
Może to jest sposób na nagonienie sprzedaży certyfikatów Extended Validation.
Może. A może chodzi o to, żeby dane fruwające między moją przeglądarką a serwerem Zdzisława nie latały plain-tekstem, tak, że byle Janusz może sobie je przeczytać / zmodyfikować / zrobić mi MitM bez większego problemu?