Я так понимаю, чтобы получить сертификат ssl предполагалось, что компания владелец домена должна владельцам корневых сертификатов предоставь уставне документы, паспортные данные и прочее. То есть пройти полную проверку. По аналогии с тем как мы получаем сертификаты подписи кода под винду

А теперь что? Ничего не нужно? Можно получить сертификат с консоли:
https://habr.com/ru/articles/667158/

Для проверки нужно только разместить на своем сайте файлик с паролем
Который проверяют внимание ! По http!

Ведь man in middle может сделать вид, что на сайте этот файлик есть, а на самом деле, его там нет. И получить валидный сертификат на любой сайт

Я прав? Это угроза безопасности всей системы https?
Или я что-то не понимаю?

Я так понимаю, чтобы получить сертификат ssl предполагалось, что компания владелец домена должна владельцам корневых сертификатов предоставь уставне документы, паспортные данные и прочее. То есть пройти полную проверку. По аналогии с тем как мы получаем сертификаты подписи кода под винду

А теперь что? Ничего не нужно? Можно получить сертификат с консоли:
https://habr.com/ru/articles/667158/

Для проверки нужно только разместить на своем сайте файлик с паролем
Который проверяют, внимание, по http!

Ведь man in middle может сделать вид, что на сайте этот файлик есть, а на самом деле, его там нет. И получить валидный сертификат на любой сайт

Я прав? Это угроза безопасности всей системы https?
Или я что-то не понимаю?