2019-05-09T13:23:32 rosti

Das mit dem Vertrauen ist natürlich ein Witz. Weil ja praktisch jeder Spitzbub ein Zertifikat kaufen kann!

Nein, das ist kein Witz, sondern nur eine der Feinheiten, weswegen LWP da einiges tun muß. Es geht nicht nur darum, sich irgendein Zertifikat zu besorgen - die kann man selber machen. Es geht darum, ob ein Spitzbub sich ein Zertifikat für beispielsweise www.perl-community.de kaufen kann, dessen Zertifikatskette bei einem der Wurzelzertifikate verankert ist, denen der Client per Konfiguration vertraut. LWP muss prüfen, ob der Name des Zertifikats (ASN.1) zur URL passt, ob das Zertifikat aktuell gilt oder zurückgezogen wurde, und wer für das Zertifikat gradesteht. Bei www.perl-community.de ist das die Let's Encrypt Authority X3, und ich bin mir einigermaßen sicher, dass diese Authority mir oder Dir kein Zertifikat für die gleiche Domain verkauft.

Es hat schon Fälle gegeben, in denen diese Infrastruktur geknackt wurde, aber dahinter steckt dann nicht irgendein Spitzbub, sondern eine gar nicht so triviale kriminelle Organisation - oder ein Geheimdienst, falls wir den mal nicht in die gleiche Schublade stecken wollen.