On Fri, 19 Aug 2022 21:56:35 +0200, Mirek <m...@n...dev> wrote:
> Certyfikat jest właśnie po to, żeby przeglądarka wiedziała, że dane
> które odszyfrowała pochodzą z TEJ domeny (i

Jescze raz: jaka jest wartość tego, skoro zwykły certyfikat dziś nic
nie znaczy? Mozna nawet używać selfsigned. W tym kontekście pisałem,
że certyfikat (jako mechanizm zaufania) nie ma już znanego związku
(wartościowego) z szyfrowaniem.

> Co ci z szyfrowania, jeśli agresor podszyje się pod domenę i wyśle
> ci
> swoje klucze bez sprawdzenia skąd pochodzą?

Jaki agresor? Nie trzeba się pod nic podszywać. Zwykły certyfikat
można wygenerowac od ręki i za darmo. Powtarzasz kryptograficzne mity
(MiM), które realnie NIGDY (w znaczącej skali) nie musiały być
wykorzystane do fraudow. Ludzie są bardziej głupi. Stawiam nawet
tezę, że gdyby w ogóle SSL nie było to poziom fraudów opartych na
"podejrzeniu" zawartości payloadu czy "podstawionych" witryn byłby na
podobnym samym poziomie co mamy teraz. Szyfrowanie to tylko zbędna
komplikacja, wnosząca tylko złudzenie bezpieczeństwa i dobrze
sprzedający się buzzword.

--
Marek