Cosa posso fare per fare affidamento meno sulle autorità di certificazione?

Sfortunatamente, questo non farà nulla per risolvere il problema, e potrebbe anche peggiorare le cose per te se non imposti le cose correttamente.

I certificati sono progettati per garantire che la chiave pubblica crittografata con la tua connessione appartenga effettivamente al server a cui stai tentando di connettersi. Lo fa utilizzando una firma da un'autorità di certificazione di terze parti che il tuo browser già si fida. Fondamentalmente è una dichiarazione firmata dalla CA che dice "abbiamo verificato che questa chiave pubblica appartiene a questo sito web".

Se dite al vostro browser "hey, non fidatevi più delle autorità di certificazione, affidate solo certificati dal proxy / CA personalizzato che sto per impostare", lo farà, ma poi la domanda diventa: "come questa nuova CA decide quali chiavi pubbliche appartengono a quali siti web "? Non hai risolto il problema, lo hai appena spostato. Inoltre, se la CA personalizzata non è implementata correttamente, potrebbe aprirti ad altre vulnerabilità (ad esempio, emettendo i certificati quando non dovrebbe, o inducendo il browser a pensare che una connessione sia crittografata quando in realtà non lo è).

Purtroppo, fino a quando qualcuno non troverà un modo migliore per i siti Web di distribuire le proprie chiavi pubbliche in modo sicuro e verificabile, siamo bloccati con CA e X.509 infrastruttura a chiave pubblica.

IMHO ti manca l'idea di CA. Ad esempio, sul certificato del computer / browser root e sul certificato di rilascio CA della banca, ad esempio, firmano questa chiave pubblica con la propria chiave e con i certificati di origine è possibile verificare la validità del certificato bancario.
Se si crea una CA propria e si rilascia un certificato alla banca, si pensa di far installare il certificato. Inoltre un host web può utilizzare solo un certificato in un momento particolare Anche se imposti un'infrastruttura MiTM, dovrebbe esserne presente almeno uno (MiTM) che si fida di quei certificati bancari (esistenti)

Can i assume that if MITM myself and the sites i care with my own certificates i will make impossible to others to the same to me ?

In effetti sarebbe probabilmente più facile come prima per gli altri per MITM voi. Dato che non ti fidi del sistema CA esistente, presumo che tu non voglia usarlo per controllare il certificato dei siti prima di fare un MITM per te. Per questo chiunque può fare un altro MITM di fronte a te e tu semplicemente accetti il certificato non valido.

Se davvero non ti fidi delle CA, puoi semplicemente rimuoverle tutte e poi ricevere un avviso per ogni sito https a cui vuoi accedere. Si ottiene quindi aggiungere questo certificato specifico come attendibile. Ovviamente dovresti fidarti di questo certificato solo dopo aver verificato che è il certificato corretto e non sei già stato attaccato da un man-in-the-middle. Dal momento che non ti fidi di alcuna CA hai bisogno di un modo al di fuori del sistema CA per verificare la correttezza del certificato, che è probabilmente difficile da fare.

Un modo migliore potrebbe non essere di abbandonare completamente il sistema CA, ma piuttosto aumentarlo con strumenti come Certificate Patrol.