Moin dave,

sehe ich das richtig, dass HTTPS nicht vor man-in-the-middle Angriffen schützt?

das ist kompliziert.

Die Zertifikats-Infrastruktur sorgt über eine Vertrauens-Hierarchie dafür, dass ein MITM-Angriff nicht passieren kann: das Zertifikat würde nicht von einer der vertrauten Stellen aus der Hierarchie stammen und du würdest dem Zertifikat also nicht vertrauen. Bei Ausstellung eines Zertifikats muss ja die Identität und Berechtigung überprüft werden.

Soweit die Theorie.

In der Praxis trifft das auf viele Probleme: die Stellen, die Zertifikate ausstellen können, nehmen überhand, so darf z. B. die deutsche Telekom und die meisten Hochschulen jederzeit für jede Domain ein Zertifikat ausstellen. Ausserdem sind, wie DigiNotar zeigt, die Stellen nicht vertrauenswürdig. Das führt also dazu, dass MITM-Angriffe möglich werden, über falsch ausgestellte Zertifikate.

LG,
 CK