Возник вопрос по SSL. Поправьте меня если я где-то неправ.
Пусть мы имеем комп с чистой осью и браузером и больше ничего. В браузере и/или оси есть предустановленные корневые сертификаты.
Мы впервые обращаемся к сайту kokoko.com с использованием https. По идее kokoko.com как-то нам представится и скажет что его сертификат заверен вот тем-то и тем-то CA.
Один из СА из списка(любой) по просьбе товарища полковника добавляет CA второго уровня. А тот выписывает копии сертификатов на любые сайты от своего имени.
Теперь при обращении к kokoko.com наш запрос заворачивается на проксю, которая подсовывает фальшивый сертификат подписаный фальшивым СА, которому доверяет СА из списка довереных и всё работает. Пользователь же не заметит разницы т.к. не будет смотреть кто же там подписал ему сертификат, а будет довольным зеленым значком возле urlа.
То есть как мне кажется достаточно контролировать всего один CA чтоб устроить MITM всем сайтам.
Я прав или этот момент как-то предусмотрен в SSL?
