Administrace komentářů

Ano, vypadá to tak. Certifikáty lze "smazat" v preferencies. Po restartu FF jsou tam zpátky, ovšem jako untrusted. Přesto ten mechanismus cinknutý fakt je. Podařilo se mi dostat FF do stavu, kdy se nemohu dostat na https://kernel.org - untrusted certiicate a žádná možnost udělit výjimku ... nechápu. Kompilace ze zdrojáků je asi opravdu jediná relativně čistá možnost. Ve zdrojákách je soubor s CA, ze kterého lze CA vyházet. Pak se zase stane FF velmi nepohodlným. Pokaždé, když se vleze na nový https server, je třeba klikat na výjimku, což je hodně otravné. Nakonec jsem to vyřešil takto - nechal jsem zabudované CA na pokoji, ať si tam jsou a přidal Certificate Patrol. U naprosté většiny webů je mi úplně fuk, jestli jsem na skutečném nebo podvrženém, respektive nepotřebuji SSL. Příkladem může být kernel.org; je mi fuk, odkud si jádro stáhnu. Důležité je, aby seděl gpg podpis. U těch několika málo webů, kde chci mít rozumnou míru jistoty, že nejsem na webu podvrženém, přichází ke slovu Certificate Patrol. Je mi zcela fuk, jakou CA je certifikát podepsán; důležité je, že je to stále ten stejný. Problémem je první návštěva důležitého webu - tam si mohu autentičnost ověřit buď přes CA nebo to prostě poprvé risknout. Dá se i přes TOR - jít na důležitý web přes TOR přes více různých exit nodů a porovnat hash; pak je celkem vysoká míra jistoty, že jsem na správném webu. Tímto způsobem jsem docílil toho, že na nedůležitých webech, jako třeba hledání na google, mě FF neobtěžuje a na těch důležitých by mě v případě nějakého MTM či jiného útoku upozornila Certificate Patrol