Hola,
El 5 de setembre de 2011 19:05, Joan <arbocenc@calbasi.net
<mailto:arbocenc@calbasi.net>> ha escrit:
A l'Iceweasel de la estable també hi era (ja l'he tret).
La meva pregunta és:
- si la debian estable prioritza la seguretat, ens hem d'aconformar
amb una versió antiga del navegador (po fale), però, com és que la
supressió d'aquest certificat no està programada???
No sé si algú hi treballa, algú ha posat un informe d'errors?
- si esborro TOTS els certificats, perdo algo? Per què punyetes he
de tenir certificats d'empreses externes activats per defecte?
Intento explicar-ho de la manera més simple que se m'acut:
La seguretat es basa en la confiança. Si no tens cap certificat marcat
com "de confiança" i vols usar un servei (per exemple) de "banca online"
quan visitis la pàgina del teu banc et sortirà un avís: "This Connection
is Untrusted" (No es confia en la connexió) i hauràs d'afegir el
certificat a la llista manualment. Ara bé, abans d'afegir-lo, si ets una
persona responsable, aniràs a la oficina del banc -o si confies en el
telèfon trucaràs per telèfon- i els preguntaràs si la clau pública del
certificat (que hauràs imprès) és correcta o no.
Un cop et confirmin la clau, podràs afegir el certificat a la llista de
confiança amb tota tranquil·litat.
Com pots veure, això és molt pesat i no és raonable fer-ho amb cada web
(imagina que cada usuari truca a Google o Facebook!) de manera que el
banc decideix anar a *entitat de certificació* a que li signi el
certificat i l'*entitat de certificació* va al *navegador web* i diu
«sóc de fiar».
Llavors el *navegador* audita la fiabilitat de l' *entitat de
certificació* i si troba que «és de fiar», llavors l'afegeix a la llista
d'emissors de certificats de confiança que suggereixes esborrar.
Darrera de tot això acaba sortint un negoci: Si vols tenir un
certificat, paga'm 100€/any, que jo he de pagar auditories. I dels
negocis surten "interessos impurs" i tot el que vulguis.
També hi ha grups (http://www.cacert.org/) que es dediquen a fer el que
fan aquestes empreses de franc, però clar... les auditories amb
voluntaris van molt més lentes.
Jo no esborraria els certificats si no tens un bon motiu, perquè (a
Mozilla com a mínim) s'ho miren bastant pel que tinc entès.
Si la fletxa "->" vol dir "relació de confiança":
Usuari -> Navegador web -> Entitat certificadora -> Banc.
Si trenques el primer pas (Usuari -> Navegador), la cadena queda
trencada i has de revisar tots els certificats a mà.
Espero haver contestat la pregunta.
Salut i merci Hubble,
Joan Cervan
Salut,
Sergio Oller