On 11/19/2014 11:59 PM, Thadeu Lima de Souza Cascardo wrote: > Eu pretendia escrever algo mais curto sobre o assunto, mas encontrei um > texto cuja leitura ainda não concluí, mas gostaria de sugerir para > discussão no grupo. > > http://lair.fifthhorseman.net/~dkg/tls-centralization/
O que o texto sugere (se entendi bem) é manter o modelo de CA, mas partir pra uso de múltiplos CAs, argumentando que para tal devemos utilizar OpenGPG para tal. Ele comenta do CACert.org, que é outra alternativa que não entendo direito. O uso de múltiplos CAs pode ser melhor que um CA só, mas ainda assim, 3 dos CAs gigantes não me parecem impedir MITMA: se um governo consegue estar em um, consegue estar em tantos quanto precisar. A grande vantagem (se entendi bem o argumento) seria incentivar usuários a autorizar CAs menores, em que você confia, o que eu acho que jamais aconteceria. E um ponto que a gente sempre levanta não é que não importa o quanto o CA seja bom, o grande problema é CA ter o poder que tem? E um ponto de falha fora do nosso controle, então não me parece ser uma solução razoável de toda forma. Ou entendi alguma coisa errada aqui? O grande problema é cultura, no fim das contas. E é a coisa mais difícil de mudar :( Qualquer que seja a solução (Let's Encrypt, CACert.org, certificados autoassinados, alguma solução futura melhor, que independa da CA), cultura sempre vai ser um problema. -- Ricardo Panaggio
signature.asc
Description: OpenPGP digital signature
