2009/5/10 Giuseppe "Gippa" Paterno' > > Ciao, ben sentito!!!! > IMHO non c'e' meramente un discorso tecnico dietro la scelta di fare > entrare una Root CA nell'elenco dei certificati root dei browser. > Sono anni che CA Cert sta lottando per entrare nell'elenco delle root CA > dei browser.... anche se a dire il vero CaCert ha avuto il bug del prng > di debian (ma chi non potrebbe essere esente ai buchi?)... > Ciao ciao, > Gippa
Il problema è quello di avere una infrastruttura decente che questi bug magari li eviti. Niente contro Debian, ma non è semplice fare l'hosting di una CA - chi ne è stato coinvolto lo sa bene. Devi avere una certa infrastruttura che non è esattamente un piccolo investimento, e non può certo essere soggetta agli errori commessi da software compilato da volontari o comunque non professionalmente, come è stato evidente nel caso di Debian. In questo caso sono da una parte contento che CA Cert non sia una Root CA :-) ma il vero problema non è questo. È IMHO la struttura stessa dei trust in una PKI che non è scalabile e non è pensata per avere una struttura di trust che non faccia affidamento sulla certificazione di poche compagnie private. Dovrebbe francamente essere ridisegnata/migliorata nei suoi concetti di base. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" Sent from Düsseldorf, Nordrhein-Westfalen, Germany ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
