Hallo,

Danke,aber was mir nicht einleuchten will,wenn jemand einen server faked,dann signiert er doch mit seinem privatekey,und somit macht es doch für den client den Anschein das alles in Ordnung ist,weil der faker sich ja ein eigenes keypair generiert hat.

Ein selbst erzeugter Schlüssel kann nur dazu dienen, daß die verschlüsselte Übertragung erfolgreich sein kann. Eine validierung des Schlüssels ist damit nicht gegeben.

Deshalb verstehe ich nicht,wie der Client sich da so sicher sein kann,ob ein Zertifikat wirklich authentisch ist.

Ist er auch nicht, weil es keine offiziell anerkannte Authorität (CA) bestätigen kann. Das wird auch entsprechend angezeigt.
Ein Schlüssel wird vom Client eben nur als sicher erachtet, wenn er von solch einem CA authentifiziert werden kann.
Will jemand als CA auftreten, so muß dies ebenfalls durch einen Schlüssel erfolgen, der wiederum von einer bereits anerkannten Stelle authentifiziert werden muß, und so weiter und so fort.

Grüße
  Klaus