问使用TLS保护的任何网站可以使用流氓CA颁发的流氓证书来模拟吗？

EN

有可能以证书钉扎的形式进行保护。这可以在应用程序中完成，一些浏览器(希望将来都支持)以证书固定的形式支持它。证书钉扎可以采取两种形式，首先，您可以将证书的指纹提交给浏览器供应商(目前是Google和Mozilla )，以便包含在浏览器本身中。第二，您可以将引脚添加到HSTS头中，这将告诉过去访问过您站点的浏览器，如果他们现在看到的证书是犹太的还是不犹太的。

因为证书钉扎发生在单个证书级别上，因此它减少了由恶意或受损根签名的证书的威胁。

站点所需要做的就是提供一个由可信CA签名的证书。目前没有办法“范围”can (限制他们可以签署证书的来源)，网站也没有办法指定哪些can对其有效。(即使有，这是一个鸡与蛋的问题，你怎么知道信息是有效的？)

因此，答案基本上是:是的，任何CA都可以为任何网站签署证书。