Re: [øŧ] esborrar certificat
Responc aquí per preguntes particulars, després comento en general.
El Dilluns 5 Setembre 2011 19:05:34 Joan va escriure:
> A l'Iceweasel de la estable també hi era (ja l'he tret).
>
> La meva pregunta és:
>
> - si la debian estable prioritza la seguretat, ens hem d'aconformar
> amb una versió antiga del navegador (po fale), però, com és que la
> supressió d'aquest certificat no està programada???
A security.debian.org ja hi ha actualitzacions des del dimecres de la
setmana passada, poc després que es destapés l'assumpte, per als
paquets nss i ca-certificates. Imagino que en breu hi haurà
actualització d'iceweasel, passa que a diferència d'una revocació el
que fan és incloure codi ex-profeso per bloquejar el certificat, i això
vol més temps. Matusser, però més matusser és que les CRL no funcionin
com han de funcionar.
> - si esborro TOTS els certificats, perdo algo? Per què punyetes he de
> tenir certificats d'empreses externes activats per defecte?
Et passarà que a partir d'aleshores totes les pàgines web segures et
donaran error de certificat no fiable. El problema és que hauràs de
revisar un per un els certificats de totes les pàgines web segures
perquè no et dónin gat per llebre, i quan caduquin estaràs a les
mateixes amb els certificats renovats.
Això de les autoritats certificadores (CA) és un xou. La teoria és que
elles donen fe de l'autenticitat de les dades que consten al
certificat, com uns notaris electrònics, però a l'hora de la veritat
n'hi ha que s'ho miren bastant a la lleugera i d'altres que no tenen
prou ben desat el segell de goma. A més, no existeix cap supra-entitat
que les vigili, a la pràctica és una autoregulació mitjançant els
certificats instaŀlats per defecte als navegadors, i cadascun d'ells té
la seva base i criteris diferents.
El fet de DigiNotar és insòlit no perquè hagi estat el primer, ni molt
menys, sinó per la resposta dels responables dels navegadors que han
decidit treure el seu certificat de la llista de fiables. Ja era hora.
--
Atentament,
Eloi Notario.
Reply to: