On Wednesday, November 19 2014, Thadeu Lima de Souza Cascardo wrote: > On Wed, Nov 19, 2014 at 11:59:08PM -0200, Thadeu Lima de Souza Cascardo wrote: >> Eu pretendia escrever algo mais curto sobre o assunto, mas encontrei um >> texto cuja leitura ainda não concluí, mas gostaria de sugerir para >> discussão no grupo. >> >> http://lair.fifthhorseman.net/~dkg/tls-centralization/ >> >> Abraços. >> Cascardo. > > E é claro: a mesma EFF sabe a merda que é o nosso modelo de confiança em > CA: > > https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl > > É como se a EFF e a Mozilla cedessem ao "dos males, o menor", > acreditando que é melhor a falsa sensação de segurança usando HTTPS com > o modelo de CA a não ter criptografia alguma. > > No entanto, 1) nada impede de utilizar criptografia hoje com um > certificado auto-assinado e adicionar no mix algo como o CertPatrol ou > Monkeysphere; 2) a Mozilla faz um browser com uma boa fatia do mercado, > o que permitiria que ela adotasse outro modelo por padrão em seus > próximos releases.
O (2) seria ótimo não só pra isso mas pra várias coisas, mas não dá pra contar com eles. Eles precisam *manter* a base de usuários, então qualquer mudança é bastante estudada, pelo que vejo. Mas enfim, isso já é offtopic aqui. > Daí, não posso aceitar a desculpa de que era a melhor opção que tinham. > Sinto muito, mas não posso dizer que estou feliz por essa iniciativa. Eu estou conversando em privado com o Seth, que é um dos que estão puxando esse projeto. Pedi permissão pra postar a mensagem dele aqui, porque acho que seria útil pra discussão. Além disso, ele mencionou o Certificate Transparency (<http://www.certificate-transparency.org/>), que é uma iniciativa (do Google) para criar um meio de detectar esses MITM que você havia mencionado na outra mensagem. Estou estudando essa proposta (já está em fase de "deployment", e é open source) pra conseguir argumentar melhor sobre os possíveis problemas disso. All in all, baixei um pouco a guarda com a iniciativa deles. Não é definitivamente a melhor, mas pelo que li, eles estão "jogando de acordo com as regras" (o que é um eufemismo pra "ceder ao \"dos males, o menor\"", concordo). -- Sergio GPG key ID: 0x65FC5E36 Please send encrypted e-mail if possible http://sergiodj.net/
pgpANPk_XV8wI.pgp
Description: PGP signature
