[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] Öppet brev till Netclean



Hej,
Om man använder sina egna CA:s och blir påkomna kommer dessa åka ur
trust-bundlen snabbare än vi hinner blinka, detta för att den typen av
aktiviteter raserar hela trustmodellen. Mest talande är
Diginotar-fallet, som tog med sig holländska e-legitimationer i fallet.

De kanske kommer undan en gång med att göra det, men inte fler. Detta
har dock redan hänt i fallet med turk trust, när de "råkade" utfärda
gmail.com.

Kolla annars:
https://www.securelist.com/en/blog/208194063/TURKTRUST_CA_Problems

/andreas

On 2014-07-03 21:57, Per Andersson wrote:
> 
> 2014-07-03 10:40 GMT+02:00 Joel Purra <mig@xxxxxxxxxxxx>:
>>
>> 2014-07-02 23:04 GMT+02:00 Martin Millnert <martin@xxxxxxxxxxx>:
>>
>> Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa
>> CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers?
> 
> Det sker väl lite då och då. T ex togs CAcert bort ur FreeBSD för ett tag sedan
> och ur Ubuntu och Debian nyligen. [0]
> 
> I Debian gick det en diskussion om att när CAcert togs bort (för att de inte
> verifierar identit tillräckligt tror jag) att även andra stora CAs
> borde tas bort
> för de signerar vad som helst som skickar pengar. De här stora CA tas inte
> bort för då blir besök på www med Debian totaldrygt för användarna som
> möts av NOT TRUSTED hela tiden. Stora CA är alltså för too big to fail och
> fortsätter att skeppas trots att de inte sköter sig enligt CA-policies osv.
> 
> 
>> Finns alternativ? Kan man tänka sig att implementera någon form av
>> certificate pinning[1] på bredare front?
> 
> Monkeysphere [1] är ett alternativ som använder OpenPGP web of trust för
> att verifiera identitet.
> 
> 
> [0] https://en.wikipedia.org/wiki/CAcert#Inclusion_status
> [1] http://web.monkeysphere.info/
> 
> 
> --
> Per
> 

-- 
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan