Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
MaXXX eternal tiare Dio maturo
Registrato: 18/02/09 11:13 Messaggi: 2290 Residenza: Dreamland
|
Inviato: 07 Set 2011 04:37 Oggetto: |
|
|
Per fortuna come dice l'articolo la maggior parte dei browser ha già fatto uscire un update per mettere nella blacklist quel certificato.
Se non ricordo male non è la prima volta (successe anche a comodo e da quel che mi ricordo in modo imbarazzante) credo che sia evidente a tutti di come il sistema delle firme delle Ca non sia il migliore del mondo,non me ne intendo molto ma è lampante.
Se è vero che almeno pubblicamente nessuno ha mai violato le chiavi dei certificati e quindi ssl è sicuro come crittografia, possiamo vedere che enorme casino succede quando viene rubato un certificato valido che possono usare dandogli il nome che gli serve e fare attacchi mirati man in the middle, anche se cambia il nome del certificante magari difficilmente ci si fa caso, ormai siamo abituati a vedere https e ci si "fida" dell'identità del sito.
Lessi che alcuni suggerivano in passato di usare certificati plurifirmati da più Ca indipendenti tra loro per aumentare la sicurezza anche se complicando le cose e i costi, non so sulla carta potrebbe sembrare una buona idea.
Alla fine di Ca c'è ne sono molte, devono essere tutte riconosciute dai browser se non sbaglio perchè se no cade il fondamento del sistema dei certificati ma chi è che le controlla e si occupa che mantengano la sicurezza che devono offrire? Io posso decidere a chi affidarmi per i certificati ma cmq basta un attacco o un errore anche ad una Ca diversa o più piccola o incurante (il caso comodo con istantssl dove una delle password sembrerebbe fosse banale ecc.) per creare tutti questi casini.
Un altra cosa che non capisco al 100% non intendendomene molto è che se ad esempio sono il sito "pincopallino.com" e mi servo dei certificati della Ca "zeus" se viene compromessa la Ca xxx un malintenzionato può creare certificati a nome pincopallino.com che vengono regolarmente riconosciuti. Non è che c'è un controllo per vedere se effettivamente pincopallino usa i certificati di quella Ca tali da dare un errore, così se uno ruba un certificato di una qualsiasi Ca se non ho capito male può firmarlo a nome di un bel pò di domini.
Ripeto non sono un esperto e so che è più facile criticare che non fare sul campo ma possibile che non ci siano modi per migliorare questo fatto? è vero che un sito potrebbe decidere di cambiare Ca o di usare più certificati e questo complica le cose però un controllo di questo tipo (associare un dominio alla Ca che sta usando) non servirebbe a limitare un pò i danni?
Forse ho scritto delle cavolate e degli errori ma non lo vedo come un sistema così affidabile quello attuale delle Ca non lo so, voi dell'olimpo cosa ne pensate? |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 07 Set 2011 21:44 Oggetto: |
|
|
MaXXX eternal tiare ha scritto: |
Un altra cosa che non capisco al 100% non intendendomene molto è che se ad esempio sono il sito "pincopallino.com" e mi servo dei certificati della Ca "zeus" se viene compromessa la Ca xxx un malintenzionato può creare certificati a nome pincopallino.com che vengono regolarmente riconosciuti. Non è che c'è un controllo per vedere se effettivamente pincopallino usa i certificati di quella Ca tali da dare un errore, così se uno ruba un certificato di una qualsiasi Ca se non ho capito male può firmarlo a nome di un bel pò di domini.
Ripeto non sono un esperto e so che è più facile criticare che non fare sul campo ma possibile che non ci siano modi per migliorare questo fatto? è vero che un sito potrebbe decidere di cambiare Ca o di usare più certificati e questo complica le cose però un controllo di questo tipo (associare un dominio alla Ca che sta usando) non servirebbe a limitare un pò i danni?
Forse ho scritto delle cavolate e degli errori ma non lo vedo come un sistema così affidabile quello attuale delle Ca non lo so, voi dell'olimpo cosa ne pensate? |
Un certificato può essere usato per una autenticazione diretta (io posseggo il certificato dunque fammi entrare) o una comunicazione crittografia o semplice identificativo di controllo. Qualsiasi altro parametro può essere "manomesso" come IP, url, imac o altro.
Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro.
Certo che se è di grosso calibro come quello in Iran c'è da sospettare che i "ladruncolo" sia lo Stato per meglio spiare.
La CA prima di questo fattaccio era ben considerata dove la fiducia in questo lavoro è tutto. MA poteva fare dei controlli incrociati (o avere archivi incrociati) PRIMA che succedesse questo casino! Che diamine!!!
Come vedi il problema è spendere nella sicurezza! Anche per chi ci mangia con questo.
Ciao |
|
Top |
|
|
MaXXX eternal tiare Dio maturo
Registrato: 18/02/09 11:13 Messaggi: 2290 Residenza: Dreamland
|
Inviato: 08 Set 2011 05:19 Oggetto: |
|
|
mda ha scritto: | MaXXX eternal tiare ha scritto: |
Un altra cosa che non capisco al 100% non intendendomene molto è che se ad esempio sono il sito "pincopallino.com" e mi servo dei certificati della Ca "zeus" se viene compromessa la Ca xxx un malintenzionato può creare certificati a nome pincopallino.com che vengono regolarmente riconosciuti. Non è che c'è un controllo per vedere se effettivamente pincopallino usa i certificati di quella Ca tali da dare un errore, così se uno ruba un certificato di una qualsiasi Ca se non ho capito male può firmarlo a nome di un bel pò di domini.
Ripeto non sono un esperto e so che è più facile criticare che non fare sul campo ma possibile che non ci siano modi per migliorare questo fatto? è vero che un sito potrebbe decidere di cambiare Ca o di usare più certificati e questo complica le cose però un controllo di questo tipo (associare un dominio alla Ca che sta usando) non servirebbe a limitare un pò i danni?
Forse ho scritto delle cavolate e degli errori ma non lo vedo come un sistema così affidabile quello attuale delle Ca non lo so, voi dell'olimpo cosa ne pensate? |
Un certificato può essere usato per una autenticazione diretta (io posseggo il certificato dunque fammi entrare) o una comunicazione crittografia o semplice identificativo di controllo. Qualsiasi altro parametro può essere "manomesso" come IP, url, imac o altro.
Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro.
Certo che se è di grosso calibro come quello in Iran c'è da sospettare che i "ladruncolo" sia lo Stato per meglio spiare.
La CA prima di questo fattaccio era ben considerata dove la fiducia in questo lavoro è tutto. MA poteva fare dei controlli incrociati (o avere archivi incrociati) PRIMA che succedesse questo casino! Che diamine!!!
Come vedi il problema è spendere nella sicurezza! Anche per chi ci mangia con questo.
Ciao |
Capito, in effetti è una vergogna che si comportino così penso che ormai giustamente la fiducia sia stata mangiata irrimediabilmente e diginotar spero sia finita visto che in un altro articolo si cita di come fosse incurante della sua rete se voglio sicurezza e spendo mi auguro che quantomeno la Ca che scelgo abbia delle protezioni minime. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 10 Set 2011 14:14 Oggetto: |
|
|
mda ha scritto: | Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro. |
Molto vero usando FF si ricevono spesso questi avvertimenti, ma se il sito in questione è la tua banca che fai? Rinunci... o procedi, speri e tieni sempre sotto controllo il conto cambiando anche in continuazione la password. ]
mda ha scritto: | Certo che se è di grosso calibro come quello in Iran c'è da sospettare che i "ladruncolo" sia lo Stato per meglio spiare. |
Su questo avrei pochi dubbi...
mda ha scritto: | La CA prima di questo fattaccio era ben considerata dove la fiducia in questo lavoro è tutto. MA poteva fare dei controlli incrociati (o avere archivi incrociati) PRIMA che succedesse questo casino! Che diamine!!!
Come vedi il problema è spendere nella sicurezza! Anche per chi ci mangia con questo.
Ciao |
In un mondo in cui le spese continuano a contrarsi per massimizzare i profitti con la politica del mordi e fuggi spendere nella sicurezza, per molti, diventa sempre più fantascienza. |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 10 Set 2011 15:06 Oggetto: |
|
|
Gladiator ha scritto: | mda ha scritto: | Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro. |
Molto vero usando FF si ricevono spesso questi avvertimenti, ma se il sito in questione è la tua banca che fai? Rinunci... o procedi, speri e tieni sempre sotto controllo il conto cambiando anche in continuazione la password. ]
(...)
|
Bestemmio in filippino!!!
Ciao |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 10 Set 2011 15:12 Oggetto: |
|
|
mda ha scritto: | Gladiator ha scritto: | mda ha scritto: | Si possono usare più certificati ma ogni certificato COSTA (e le stesse procedure amministrative del doppio certificato o triplo costano ancora di più) e ti dirò che spesso in Italia si usa certificati invalidi (scaduti o non confermati o non pagati che Firefox e altri avvisano inutilmente) ma gli utenti (non posso dire in giro ma 4 grosse società in Italia lo fanno) vanno avanti lo stesso pensando che siano al sicuro. |
Molto vero usando FF si ricevono spesso questi avvertimenti, ma se il sito in questione è la tua banca che fai? Rinunci... o procedi, speri e tieni sempre sotto controllo il conto cambiando anche in continuazione la password. ]
(...)
|
Bestemmio in filippino!!!
Ciao |
Folcloristico ma, purtroppo, inutile...
|
|
Top |
|
|
|