On 01/08/2015 07:18 PM, Cesare Gallotti wrote:
> Ciao,
>
> mi permetto di suggerire la possibilità di usare CA gratuite. Non
> sono un sistemista né le ho mai provate, però lancio l’idea.
Posto che l'intero meccanismo delle CA è bacato alla radice, salvo
quando utilizzato internamente all'azienda (è un tipico caso in cui il
modello di sicurezza non ha niente a che fare con la realtà), il valore
di una CA sta sostanzialmente nell'affidabilità della garanzia di
corretta associazione fra identità e certificato, ovvero nel processo di
registrazione, che è anche quello più esposto e che infatti è quello che
storicamente ha causato grossi problemi.
Questa garanzia, che non è un aspetto tecnico ma
procedurale/organizzativo e che richiede tempo-persona per ogni
verifica, a sua volta nella sostanza dipende come qualità dalle
conseguenze per la CA in caso di registrazione "sbagliata".
A meno di avere una visione "dall'interno" della sicurezza della CA,
analoga a quella di un audit, o di partire dall'idea che "siccome è
gratis lo fanno bene", va capito l'onere di un buon processo di
registrazione come è coperto da una CA gratuita, ma in generale il fatto
che sia gratis vuole dire che i soldi devono arrivare da un'altra parte,
come per tutti i servizi "gratuiti".
Quindi, a meno che il nostro servizio web sia talmente di poco valore da
non meritare questo tipo di valutazioni, direi che la gratuità del
certificato dovrebbe essere veramente un aspetto marginale, se non un
difetto, rispetto ad una valutazione della storia di affidabilità della
CA ("punendo" se possibile quelle che in passato si sono mostrate poco
diligenti) o a evidenze di una buona gestione.
Suggerisco in generale di leggere le CSP (Certification statement
policy) della CA che si sceglie, particolarmente sotto la voce
"Liability", è sempre molto interessante. Di solito dice che se
riusciamo a dimostrare non solo la loro negligenza, ma anche un danno a
noi o a terzi (ma spesso non sono coperti entrambi i casi), allora la CA
è responsabile "cumulativamente" per qualche migliaio di euro. L'unica
tutela reale è il danno di immagine alla CA in caso di negligenza, ma
questo vuole dire che ci deve essere un'immagine da tutelare.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
