Marek <f...@f...com> napisał(a):
> Jescze raz: jaka jest wartość tego, skoro zwykły certyfikat dziś nic nie
> znaczy?

Znaczy dużo. Już się o tym rozpisywałem, masz też ten temat objaśniony na
wielu stronach, nie mówiąc już o książkach.

> Mozna nawet używać selfsigned.

Nie można. Przeglądarki drą ryja jak widzą self-signed.

> W tym kontekście pisałem, że certyfikat (jako mechanizm zaufania) nie ma
> już znanego związku (wartościowego) z szyfrowaniem.

Powtórzę, masz zapewnione trzy rzeczy: poufność (szyfrowanie), integralność
(nikt nie modyfikował danych po drodze) i niezaprzeczalność (wiesz, z kim
wymieniasz dane).

> Jaki agresor? Nie trzeba się pod nic podszywać. Zwykły certyfikat można
> wygenerowac od ręki i za darmo.

Ale musisz kontrolować domenę. W ten sposób certyfikat potwierdza, że
łączysz się z daną domeną.

> Powtarzasz kryptograficzne mity (MiM), które realnie NIGDY (w znaczącej
> skali) nie musiały być wykorzystane do fraudow. Ludzie są bardziej głupi.
> Stawiam nawet tezę, że gdyby w ogóle SSL nie było to poziom fraudów
> opartych na "podejrzeniu" zawartości payloadu czy "podstawionych" witryn
> byłby na podobnym samym poziomie co mamy teraz. Szyfrowanie to tylko
> zbędna komplikacja, wnosząca tylko złudzenie bezpieczeństwa i dobrze
> sprzedający się buzzword.

Zostaw te fraudy. Rozpowszechniony został mit, że HTTPS chroni przed
fraudami. Ale nie chroni i nigdy nie chronił, nie ma co już więcej o tym
pisać. Chroni komunikację i robi to dobrze. Dodatkowo zapewnia
uwierzytelnianie i to nawet dwóch stron. Ale z ochroną przed fraudami
rozumianymi jako ludzka nieuczciwość nie ma nic wspólnego.

--
Grzegorz Niemirowski
https://www.grzegorz.net/