Hej, Om man använder sina egna CA:s och blir påkomna kommer dessa åka ur trust-bundlen snabbare än vi hinner blinka, detta för att den typen av aktiviteter raserar hela trustmodellen. Mest talande är Diginotar-fallet, som tog med sig holländska e-legitimationer i fallet.
De kanske kommer undan en gång med att göra det, men inte fler. Detta har dock redan hänt i fallet med turk trust, när de "råkade" utfärda gmail.com. Kolla annars: https://www.securelist.com/en/blog/208194063/TURKTRUST_CA_Problems /andreas On 2014-07-03 21:57, Per Andersson wrote: > > 2014-07-03 10:40 GMT+02:00 Joel Purra <[email protected]>: >> >> 2014-07-02 23:04 GMT+02:00 Martin Millnert <[email protected]>: >> >> Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa >> CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers? > > Det sker väl lite då och då. T ex togs CAcert bort ur FreeBSD för ett tag > sedan > och ur Ubuntu och Debian nyligen. [0] > > I Debian gick det en diskussion om att när CAcert togs bort (för att de inte > verifierar identit tillräckligt tror jag) att även andra stora CAs > borde tas bort > för de signerar vad som helst som skickar pengar. De här stora CA tas inte > bort för då blir besök på www med Debian totaldrygt för användarna som > möts av NOT TRUSTED hela tiden. Stora CA är alltså för too big to fail och > fortsätter att skeppas trots att de inte sköter sig enligt CA-policies osv. > > >> Finns alternativ? Kan man tänka sig att implementera någon form av >> certificate pinning[1] på bredare front? > > Monkeysphere [1] är ett alternativ som använder OpenPGP web of trust för > att verifiera identitet. > > > [0] https://en.wikipedia.org/wiki/CAcert#Inclusion_status > [1] http://web.monkeysphere.info/ > > > -- > Per > -- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
