To uz bezi anketa o IT blabol roku ?1. HTTPS sam o sobe nezvysuje bezpecnost. Nejde o to sifrovat zasilana data, ale o to, jaka data a komu zasilam.
Sifrovani prenosu samo by slo naprogramovat uvnitr (java, javascript ...)2. Certifikaty jednoznacne identifikuji drzitele - to je hlavni a nosna myslenka. Cili bezpecne vim, ze jsem na strankach mbank, a proto zadavam heslo a udaje do mbank. Diky sifrovani ta data nikdo "po ceste" neprecte,
a ani nikdo po ceste nebude schopen spustit transp. proxy s vlastnim certifikatem, ktery by se tvaril jako "mbank"3. Ze by se jen pustenim prikazu z commandline podle predaneho host/domain name vygeneroval nekde nekym podepsany a tudiz DUVERYHODNY certifikat, je totoal hovadina. To by naopak zabilo veskerou bezpecnostTo, ze si myslite, ze komunikujete s nekym jinym na zaklade toho, ze vidite zabezpecenou komunikaci a certifikat, a neni tomu tak, je vetsi problem, nez kdyz vite, ze komunikace neni sifrovana a na druhe strane muze byt kdokoliv.Protoze pak si sakra rozmyslite zadavat sve citlive udaje.Za CA se plati, protoze musite nejak dolozit/overit, ze jste, za koho se vydavate, a CA je pak zodpovedna za to,
ze Vasi identitu overila. To je narocne na administrativu. Rovnez vlastni provoz CA pak musi splnovat vysoke naroky na zabezpeceni a dorzovani postupu, jinak se certifikat CA zneplatni a tudiz jim podepsane certifikaty jsou bezcenne.Pokud toto nekdo dostatecne kvalitne a duveryhodne nabidne zdarma, pak to vitam. Pokud pak ale vystavi certifikat jen na zaklade "# lets-encrypt example.com", pak ze sveho browseru radeji rucne smazu certifikaty vsech CA a budu si tam rucne pridavat jen certifikaty serveru, jimz verim a od jejichz zamestnancu jsem si na kamenne pobocce firmy certifikat vyzvedl.Prave proto vznikly CA, abych to delat nemusel /nekam chodit a vyzvedavat si/.
A proto nejde JEN na zaklade "lets-encrypt" vystavit certifikat.