Re: [øŧ] esborrar certificat

To: debian-user-catalan@lists.debian.org
Subject: Re: [øŧ] esborrar certificat
From: Eloi Notario <entfe001@gmail.com>
Date: Mon, 5 Sep 2011 22:38:52 +0200
Message-id: <[🔎] 201109052238.52387.entfe001@gmail.com>
In-reply-to: <[🔎] 4E65015E.7070501@calbasi.net>
References: <[🔎] 20110905183825.2e42aafff13eb677713c3df4@telefonica.net> <[🔎] 4E65015E.7070501@calbasi.net>

Responc aquí per preguntes particulars, després comento en general.

El Dilluns 5 Setembre 2011 19:05:34 Joan va escriure:
> A l'Iceweasel de la estable també hi era (ja l'he tret).
>
> La meva pregunta és:
>
> - si la debian estable prioritza la seguretat, ens hem d'aconformar
> amb una versió antiga del navegador (po fale), però, com és que la
> supressió d'aquest certificat no està programada???

A security.debian.org ja hi ha actualitzacions des del dimecres de la 
setmana passada, poc després que es destapés l'assumpte, per als 
paquets nss i ca-certificates. Imagino que en breu hi haurà 
actualització d'iceweasel, passa que a diferència d'una revocació el 
que fan és incloure codi ex-profeso per bloquejar el certificat, i això 
vol més temps. Matusser, però més matusser és que les CRL no funcionin 
com han de funcionar.

> - si esborro TOTS els certificats, perdo algo? Per què punyetes he de
> tenir certificats d'empreses externes activats per defecte?

Et passarà que a partir d'aleshores totes les pàgines web segures et 
donaran error de certificat no fiable. El problema és que hauràs de 
revisar un per un els certificats de totes les pàgines web segures 
perquè no et dónin gat per llebre, i quan caduquin estaràs a les 
mateixes amb els certificats renovats.

Això de les autoritats certificadores (CA) és un xou. La teoria és que 
elles donen fe de l'autenticitat de les dades que consten al 
certificat, com uns notaris electrònics, però a l'hora de la veritat 
n'hi ha que s'ho miren bastant a la lleugera i d'altres que no tenen 
prou ben desat el segell de goma. A més, no existeix cap supra-entitat 
que les vigili, a la pràctica és una autoregulació mitjançant els 
certificats instaŀlats per defecte als navegadors, i cadascun d'ells té 
la seva base i criteris diferents.

El fet de DigiNotar és insòlit no perquè hagi estat el primer, ni molt 
menys, sinó per la resposta dels responables dels navegadors que han 
decidit treure el seu certificat de la llista de fiables. Ja era hora.

-- 
Atentament,

Eloi Notario.

Reply to:

References:
- [øŧ] esborrar certificat
  - From: hubble <hubble@telefonica.net>
- Re: [øŧ] esborrar certificat
  - From: Joan <arbocenc@calbasi.net>

Prev by Date: Re: [øŧ] esborrar certificat
Next by Date: Re: Fwd: [øŧ] esborrar certificat
Previous by thread: Re: [øŧ] esborrar certificat
Next by thread: Re: [øŧ] esborrar certificat
Index(es):
- Date
- Thread