[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] Öppet brev till Netclean



2014-07-03 10:40 GMT+02:00 Joel Purra <mig@xxxxxxxxxxxx>:
>
> 2014-07-02 23:04 GMT+02:00 Martin Millnert <martin@xxxxxxxxxxx>:
>
> Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa
> CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers?

Det sker väl lite då och då. T ex togs CAcert bort ur FreeBSD för ett tag sedan
och ur Ubuntu och Debian nyligen. [0]

I Debian gick det en diskussion om att när CAcert togs bort (för att de inte
verifierar identit tillräckligt tror jag) att även andra stora CAs
borde tas bort
för de signerar vad som helst som skickar pengar. De här stora CA tas inte
bort för då blir besök på www med Debian totaldrygt för användarna som
möts av NOT TRUSTED hela tiden. Stora CA är alltså för too big to fail och
fortsätter att skeppas trots att de inte sköter sig enligt CA-policies osv.


> Finns alternativ? Kan man tänka sig att implementera någon form av
> certificate pinning[1] på bredare front?

Monkeysphere [1] är ett alternativ som använder OpenPGP web of trust för
att verifiera identitet.


[0] https://en.wikipedia.org/wiki/CAcert#Inclusion_status
[1] http://web.monkeysphere.info/


--
Per

--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan