<
"HTTPS fonctionne sur le principe d’autorités centrales. Vous devez obtenir un certificat auprès d’une autorité de confiance ../..
En clair, forcer SSL partout, c’est donner la main à quelques grosses boites pour décider qui a le droit d’être sur le Web ou pas"

"Par ailleurs, si un chiffrement généralisé de qualité permettrait d’éviter la surveillance de masse, le chiffrement via SSL ne le permet pas.
En effet, un gouvernement a juste à générer des certificat validé par les registrars pour chaque site visité. On sait depuis Prism qu’ils le font"

Dans les commentaires :
"Faudrait déjà que les navigateurs implémentent DANE (en gros on met le certificat dans le DNS, donc pas besoin de CA). Mais ça implique de déployer DNSSEC, d’où l’argument de la simplicité." explications à la suite

> "Si l'AC DigiNotar est reconnue comme AC de confiance par un client TLS (exemple Firfox), elle peut signer des certificats pour n'importe quel nom"
http://www.bortzmeyer.org/6698.html

> Voir aussi ce billet au sujet proche
http://liens.azqs.com/GeekNik/?Vykbvg