czytelnik najpierw powinien dowiedzieć się o co chodzi - niestety większość (albo wszystkie?) polskich CA wystawiających podpisy kwalifikowane nie jest wpisana na listy w przeglądarkach, trzeba sobie ręcznie dopisywać.
Cóż, liczyć, że z nowymi aktualizacjami przeglądarek, producenci, a przynajmniej ci główni (MS,Mozilla,Opera) zaktualizują listy. Banki np. kupują z tego względu certyfikaty w stanach.

zgadza się :) to że wystawca certyfikatu nie znajduje się na liście zaufanych to wcale nie oznacza, że nie jest bezpiecznie. nie potrzebna panika i nie potrzebne marnowanie czasu na pisanie postów a potem oczekiwanie na odpowiedzi...
ludki : google waszym przyjacielem :)
wystarczyło poczytać.

Skąd masz pewność w takim przypadku, że to co dostajesz, od nich rzeczywiście jest certyfikowane przez Sigillum, a nie od Crackera Hackerskiego, skoro ten piewrwszy nie został oficjalnie zweryfikowany??

W trywialny sposób można przeprowadzić na użytkowników aplikacji www PWPW atak typu MITM, w przypadku, którego użytkownik aplikacji nie zauważy tego, że jest przesłuchiwany - sygnatury tekstowe będą identyczne z oryginalnymi, a cyfrowe i tak nie są weryfikowalne. Odpowiedź człowieka z PWPW nie jest żadnym częściowym rozwiązaniem problemu, lecz stwierdzeniem typu: "tak jest, nasze zabezpieczenia są nic nie warte".
Nie jest zaskakujące, że rzecznik prasowy pisze całe wypracowanie, żeby oddać myśl, którą przytoczyłem, bo mądrze brzmiącym bełkotem można ludziom ściemniać. Jak to mawiał Adolf Hitler: "Szerokie masy ludu łatwiej ulegają wielkiemu kłamstwu niż małemu."

Mości Tomaszu Chiliński, bardzo dobrze to ująłeś.

SSL dla pwpw.pl jest wystawiony jeszcze lepiej ;)

Ponieższe dane dla organu który wystawił i który posiada certyfikat.
domena: localhost.localdomain
organizacja: SomeOrganization
oddział: SomeOrganizationalUnit
miasto: SomeCity
województwo: SomeState
adres e-mail : root_(at)_localhost.localdomain

Jak już nie mają certyfikatu na tą domene niech zrobią przekierowanie z HTTP na HTTPS'a. Prosty RewriteRule w .htaccess ;)

Opisz prosze na czym ta trywialnosc polega, czyli jak trywialne jest podstawienie certyfikatu.
Jak wejdziesz na szyfrowana strone z adresu strona.com gdzie certyfikat wystawiony jest dla CN www.strona.com (certyfikat nie jest "wildcard") to mozna taki atak przeprowadzic tak samo. Sek jest w komunikatach i ew. ich ignorowaniu. Samo szyfrowanie, jezeli certyfikat uzywa wlasciwego algorytmu jest nadal bezpieczne, rowniez w przypadku stron PWPW.

rewrite z http na https nie powoduje, ze certyfikat jest zbedny. Wyswietli sie dokladnie ten sam certyfikat i certyfikat ten moze byc tak samo bezpieczny w sensie szyfrowania polaczenia, jak zaufany certyfiakt od np. Verisign.

Można posłużyć się chociażby ettercap-ng (elegancko działa preparowanie certyfikatów w locie z zachowaniem sygnatur tekstowych; naturalnie trzeba doprowadzić do przekierowania ruchu ofiary na maszynę strony atakującej tak, żeby ona pośredniczyła w wymianie informacji - jest parę prostych metod).
Widzę, że nie zrozumieliśmy się - szyfrowanie samo w sobie może być bezpieczne, ale jeśli wcześniej witryna www (https) nie zostanie poddana uwierzytelnieniu właśnie poprzez sprawdzenie jej certyfikatu to cała dalsza wymiana informacji jest ryzykowna, o ile nie przeniesiemy certyfikatu CA nieznanego przeglądarce www wystawcy certyfikatów, albo samego certyfikatu witryny na nasz komputer metodą bezpieczną.

to może odpowiem na wszystko na raz : KTO CZYTA NIE BŁĄDZI.
nie umiesz czytać to nabiorą Cię na lizaka.

Ale tak samo u ofiary można dopisać 'coś' do zaufanych dostawców. Najbezpieczniejsze jest korzystanie z własnej listy bezpiecznych certyfikatów przyniesionych na bezpiecznym nośniku z urzędu certyfikacji. Jaką ma się pewność żę 'pośrednik' nie spreparował instalalcji opery, firefoxa czy innego 'klienta https'. Dlatego panie Tomku jeżeli strona nie nakrzyczy na mnie że ścieżka certyfikacji jest nie cacy ja i tak się zawsze 2 razy zastanawiam na co wchodze.

Bardzo słusznie. Dodatkowo warto pracować przy komputerze używając jak najniższych uprawień (najlepiej zwykłego użytkownika). Systemy operacyjne często przy instalacji wgrywają również klucz publiczny producenta systemu i przy instalacji oprogramowania (powinien to robić tylko administrator sstemu) otrzymuje komunikat czy pakiet oprogramowania nie jest fałszywy. Oczywiście i tak nie uchroni nas to w 100%, ale nie oznacza to, że nie powinniśmy dbać o nasze bezpieczeństwo. Zawsze im bardziej zabezpieczamy się tym bardziej wyrafinowanych metod włamania się używają przestępcy - jak to w życiu, ale włamywacze wykorzystują przede wszystkim proste niedociągnięcia. ;-)

Polska Wytwórnia Papierów Wartościowych na swych stronach szyfrowanych nadal korzysta z certyfikatu wystawionego przez Polskie Centrum Certyfikacji Elektronicznej Sigillum, które nie poświadcza własnej tożsamości przez zewnętrznego dostawcę certyfikatów znajdujego się na liście zweryfikowanych i zaufanych dostawców certyfikatów.

"Nie udało się nawiązać bezpiecznego połączenia
cpdpub.pwpw.pl używa nieprawidłowego certyfikatu bezpieczeństwa. Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.
(Kod błędu: sec_error_unknown_issuer)"

po prostu wczesniej instalujesz sobie certyfikat sigillum

nie ma znaczenia czy cert dostarczyl nam microsoft w ramach aktualzacji systemu czy tez instalujemy certa sobie sami

Warto chyba też dodać, iż pliku z certyfikatem szukać ze świecą na stronie sigillum - tak jak by to była usługa jedynie dla klientów płatnych usług...