Re: Fwd: [øŧ] esborrar certificat
El Dilluns 5 Setembre 2011 21:09:54 hubble va escriure:
> Sembla ser que ja s'han actualitzat els certificats amb el paquet
> ca-certificates, però el que no entenc és per qué deixen que el
> certificat estigui, encara que amb les caselles desmarcades. Per mi
> aquesta empresa no te cap confiança doncs ha tingut la boca tancada
> pel públic general. Si ens hem enterat és per un sirià que fent
> servir chrome (que al ser de google si estava asabentada) ells ho
> havien desabilitat i li va avisar d'un possible MIM, i així va saltat
> la llebre de manera més pública.
És millor deshabilitar que treure, s'evita que es reimporti en un futur
i es torni a confiar en l'autoritat certificadora compromesa.
Per altra banda, la troballa del sirià amb Chrome és perquè aquest
navegador té escrit al codi els certificats de Google. En aquest cas
particular ha funcionat, però trobo que és una mala idea: si fos algun
certificat de Google el compromès, no tindries forma de desactivar-lo.
O si simplement creus que no tens motius per refiar-te'n.
Si el criteri a fer servir és el de la transparència, només deixaria com
a CA vàlida la meva personal. Com he dit abans, la diferència és que
d'aquesta se n'ha fet un gran ressò, però no és el primer cas. Les que
he trobat ràpidament (en anglès):
http://www.theregister.co.uk/2011/06/21/startssl_security_breach/
http://www.theregister.co.uk/2011/05/24/comodo_reseller_hacked/
http://www.theregister.co.uk/2011/03/23/gmail_microsoft_web_credential_forgeries/
Totes d'enguany.
--
Atentament,
Eloi Notario.
Reply to: