Door TD-er: Dat geeft maar weer aan dat je op meerdere vlakken de boel moet gaan beveiligen. Zo is het in elk geval een begin wanneer het algemeen gebruik wordt dat DNS-records van een certificaat voorzien worden, zodat je ook dat moet vervalsen om bij een "verkeerde server" terecht te komen. Nu zijn er uiteraard nog andere manieren waarop je een man-in-the-middle attack kunt uitvoeren, maar het begin is er dan. Uiteraard moet je proberen dit bij meerdere CA's te regelen, puur als extra moeite.Dat klinkt in eerste instantie wel als een verbetering, maar gaat voorlopig zeker niet gebeuren. Ongeacht de soort crypto (je hebt voor iedere site dan minimaal 2 certificaten nodig van 2 verschillende partijen), gaat dat de latency natuurlijk niet bepaald ten goede komen, enorme hoeveelheden extra data genereren en zeker bij verbindingen die al wat trager zijn, een "onwerkbare" verbinding opleveren. De enorme netwerkbelasting gecombineerd met de extra cpu-kracht voor de cliënt die nodig is voor iedere individuele ...