Responc aquí per preguntes particulars, després comento en general. El Dilluns 5 Setembre 2011 19:05:34 Joan va escriure: > A l'Iceweasel de la estable també hi era (ja l'he tret). > > La meva pregunta és: > > - si la debian estable prioritza la seguretat, ens hem d'aconformar > amb una versió antiga del navegador (po fale), però, com és que la > supressió d'aquest certificat no està programada???
A security.debian.org ja hi ha actualitzacions des del dimecres de la setmana passada, poc després que es destapés l'assumpte, per als paquets nss i ca-certificates. Imagino que en breu hi haurà actualització d'iceweasel, passa que a diferència d'una revocació el que fan és incloure codi ex-profeso per bloquejar el certificat, i això vol més temps. Matusser, però més matusser és que les CRL no funcionin com han de funcionar. > - si esborro TOTS els certificats, perdo algo? Per què punyetes he de > tenir certificats d'empreses externes activats per defecte? Et passarà que a partir d'aleshores totes les pàgines web segures et donaran error de certificat no fiable. El problema és que hauràs de revisar un per un els certificats de totes les pàgines web segures perquè no et dónin gat per llebre, i quan caduquin estaràs a les mateixes amb els certificats renovats. Això de les autoritats certificadores (CA) és un xou. La teoria és que elles donen fe de l'autenticitat de les dades que consten al certificat, com uns notaris electrònics, però a l'hora de la veritat n'hi ha que s'ho miren bastant a la lleugera i d'altres que no tenen prou ben desat el segell de goma. A més, no existeix cap supra-entitat que les vigili, a la pràctica és una autoregulació mitjançant els certificats instaŀlats per defecte als navegadors, i cadascun d'ells té la seva base i criteris diferents. El fet de DigiNotar és insòlit no perquè hagi estat el primer, ni molt menys, sinó per la resposta dels responables dels navegadors que han decidit treure el seu certificat de la llista de fiables. Ja era hora. -- Atentament, Eloi Notario. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
