Hi,

Man müsste also als Nutzer einer https-Verbindung zustimmen, ohne dass ein gültiges Zertifikat vorliegt (die Browser warnen dann doch).

exakt, aber diese Gefahr ist sehr real, wenn man die Nutzer kennt.

Hätte der Hacker/Spion ein gültiges Zertifikat, dann wäre er doch auffindbar, oder gibt es selbst dafür schon erfolgreiche Fälschungen?

Die gibt es nicht. Allerdings ist das ganze Zertifikatskonzept allgemein wenig verstanden. Man akzeptiert die SSL-Verbindung ja auf Grund einer Vertrauensvererbung. Das ist ein wenig gewoehnungsbeduerftig, denn in der Realitaet werden ueblicherweise in bilateralen Kooperationsverhaeltnissen Vertrauen aufgebaut, aber natuerlich auch dort kommt von Zeit zu Zeit die Anforderung Vertrauen auf Grund einer Empfehlung zu schenken. (Vertrauen ins Geld zum Beispiel, aber es gibt natuerlich etliche weitere Beispiele.)

Wenn die Nutzer aber das Prinzip verstanden haben, ist alles OK und die Herausforderung erfolgreich bearbeitet.

Gruss,
Ludger