2010/5/14 Roberto Scaccia: > Dipende come gestisci l'aggiornamento e la distribuzione della CRL. Se > lo fai in modo trasparente e automatico non hai problemi, altrimenti > sì. Probabilmente da te sono più furbi :-)
Siamo :-) > Per quello che riguarda i self-signed, non sono d'accordo. Anche in > assenza di CRL, una CA ti permette un trust basato su catene di > fiducia e quindi basta distribuire i root (o il root) certificate. Con > i self signed, in alcuni casi, rischi di dover trustare esplicitamente > il certificato. Beh, secondo me, _devi_ "trustare" o bloccare esplicitamente il singolo certificato, se non hai la CRL. Self signed o meno :-) Come fai altrimenti? Forse non è molto chiaro quello che intendo. Il problema dei self-signed è che non sono firmati dalla mia CA. Non basta distribuire la chiave pubblioca della mia (root o intermediate o entrambe, dipende dalle applicazioni) CA, i certificati devono anche essere firmati da essa. Se sono self-signed non mi serve la CA tout court :-) > Su VISTA per esempio un self-signed non viene più inserito nelle > autorità di certificazione radice, ma in quelle intermedie. Insomma > non è proprio la stesa cosa. Capisco e riesco ad immaginare perché funzioni in questo modo, l'unica cosa che cambia è che alcune applicazioni potrebbero non funzionare. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
