Tengo un servidor con un servidor de certificados autofirmado. el cliente confía al agregar la autoridad de creación propia a las autoridades de confianza de su navegador. Ahora, al conectarse a la dirección IP del servidor a través de https: //, el navegador dirá que la conexión es segura ya que el certificado que se muestra es de confianza. Pero, ¿cómo puede estar seguro el cliente de que el certificado que se mostró es en realidad este server.crt autofirmado específico, y no otro certificado que, por ejemplo, fue firmado por Verisign?
Tal vez mi pregunta se reduce a esto: ¿Qué tan fácil es para un atacante obtener una firma de las otras autoridades de confianza (estándar) en un navegador?
Por supuesto, el cliente siempre puede verificar manualmente en su navegador qué certificado se mostró realmente, pero esto parece ser un paso que no debería tener que realizarse cada vez que se conecta al servidor.