> Щас попробую вникнуть: За кадром слышен натужный скрип мозга питекантропа: "электричество... магнетрон.... волны... черт, как все сложно! А я то думал - нажимаешь кнопку, готовится еда!"
> 1. Мне отравили DNS, и для меня валидным ip банка теперь считается ip злыдня
Как один из вариантов. А еще могли просто поставить transparent proxy, вклиниться в провод (или подставную точку wi-fi поставить), etc. Как будто мало методов, блин.
> 2. Злыдни загодя заказали сертификат для моего домена (допустим CA не потребовали
> чтобы почта была на том же домене что и сайт)
Ну да. Т.к. любой CA может выписать серт на что угодно, какой-то из этой кучи может по долбоклюйству (как DigiNotar) или просьбе властьимущих (NSA одобряет), или просто потому что бабло побеждает зло - производители IDS вполне готовы доплатить за такую магию, разумеется, чтобы предоставить клиенту новую кульную фичу - анализ "защищеных" соединений путем снятия защиты, собственно.
> и получили его.
Ну comodohacker ведь получил. И производители IDSок получают, чуть ли не в открытую. Ищи новости о том как мозилла собиралась какой-то CA за это выпнуть.
> 3. Они разместили этот сертификат на своем https-сервере, и мой браузер обращаясь
> к фейковому https не чует подмены, потому что полученный сертификат проходит все проверки.
Именно так. Это валидный сертификат, выписанный на "якобы твой сайт". Он другой, но заметить это может только внимательный параноик, который знает что у сертификата есть fingerprint и он при этом разумеется будет разным, т.к. это иной сертификат.
> Сомнение вызвает пункт 2 - я что могу получить сертификат для mail.ru?
Ну вот конкретно ты может и не можешь. А производители IDSок и comodohacker вот смогли, при том от последнего стоял жуткий грохот кирпичей. И никаких изменений предотвращающих это в будущем сделано не было.