Ta och kika på DANE[1] eller Convergence[2]. /P
1. http://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities 2. http://convergence.io/ On 6Jul, 2014, at 17:11 , JOSEFSSON Erik <[email protected]> wrote: > Förlåt om det här är ett kraftfullt slag i luften, ,men är det inte dags att > bygga infrastruktur som underlättar att fler utfärdar sina egna cert? > > Med PGP så gör man ju sitt eget nyckelpar, behövs ingen digital notarie för > att jag ska lita på Andreas eller Joel. > > Om man tar ett kapitalistiskt perspektiv så borde ju t.ex. DN.SE vara > intresserade av att deras annonsörer exponeras till dom som DN har lovat. > YouTube som exempel gör det kanske svårare att förstå att det handlar om att > veta vem man "tittar på"? Eller? > > Om du och Joel skulle säga till mig (genom nån slags WoT) att jag kan lita på > att DN.SE verkligen är DN.SE så slipper ju .SE göra det, eller hur? > > Det känns helt rimligt samhällsekonomiskt att distribuerad tillit är bra för > alla. > > Så varför inte investera i det då? > > //Erik > > ________________________________________ > From: Andreas Jonsson [[email protected]] > Sent: Thursday 3 July 2014 22:45 > To: [email protected] > Subject: Re: [DFRI-listan] Öppet brev till Netclean > > Hej, > Om man använder sina egna CA:s och blir påkomna kommer dessa åka ur > trust-bundlen snabbare än vi hinner blinka, detta för att den typen av > aktiviteter raserar hela trustmodellen. Mest talande är > Diginotar-fallet, som tog med sig holländska e-legitimationer i fallet. > > De kanske kommer undan en gång med att göra det, men inte fler. Detta > har dock redan hänt i fallet med turk trust, när de "råkade" utfärda > gmail.com. > > Kolla annars: > https://www.securelist.com/en/blog/208194063/TURKTRUST_CA_Problems > > /andreas > > On 2014-07-03 21:57, Per Andersson wrote: >> >> 2014-07-03 10:40 GMT+02:00 Joel Purra <[email protected]>: >>> >>> 2014-07-02 23:04 GMT+02:00 Martin Millnert <[email protected]>: >>> >>> Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa >>> CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers? >> >> Det sker väl lite då och då. T ex togs CAcert bort ur FreeBSD för ett tag >> sedan >> och ur Ubuntu och Debian nyligen. [0] >> >> I Debian gick det en diskussion om att när CAcert togs bort (för att de inte >> verifierar identit tillräckligt tror jag) att även andra stora CAs >> borde tas bort >> för de signerar vad som helst som skickar pengar. De här stora CA tas inte >> bort för då blir besök på www med Debian totaldrygt för användarna som >> möts av NOT TRUSTED hela tiden. Stora CA är alltså för too big to fail och >> fortsätter att skeppas trots att de inte sköter sig enligt CA-policies osv. >> >> >>> Finns alternativ? Kan man tänka sig att implementera någon form av >>> certificate pinning[1] på bredare front? >> >> Monkeysphere [1] är ett alternativ som använder OpenPGP web of trust för >> att verifiera identitet. >> >> >> [0] https://en.wikipedia.org/wiki/CAcert#Inclusion_status >> [1] http://web.monkeysphere.info/ >> >> >> -- >> Per >> > > -- > DFRI-listan är öppen för alla. > Listan arkiveras och publiceras öppet på internet. > Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri > Listpolicy: https://www.dfri.se/regler-for-listan > > > -- > DFRI-listan är öppen för alla. > Listan arkiveras och publiceras öppet pÃ¥ internet. > Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri > Listpolicy: https://www.dfri.se/regler-for-listan >
signature.asc
Description: Message signed with OpenPGP using GPGMail
