Hej, Om man använder sina egna CA:s och blir påkomna kommer dessa åka ur trust-bundlen snabbare än vi hinner blinka, detta för att den typen av aktiviteter raserar hela trustmodellen. Mest talande är Diginotar-fallet, som tog med sig holländska e-legitimationer i fallet.
De kanske kommer undan en gång med att göra det, men inte fler. Detta har dock redan hänt i fallet med turk trust, när de "råkade" utfärda gmail.com.
Kolla annars: https://www.securelist.com/en/blog/208194063/TURKTRUST_CA_Problems
/andreas
On 2014-07-03 21:57, Per Andersson wrote:
2014-07-03 10:40 GMT+02:00 Joel Purra mig@joelpurra.se:
2014-07-02 23:04 GMT+02:00 Martin Millnert martin@millnert.se:
Det är alltså fullt möjligt i Netcleans ögon, så länge browsers har dessa CA:s som Turkiet kontrollerar. Hur ofta tas en CA bort från browsers?
Det sker väl lite då och då. T ex togs CAcert bort ur FreeBSD för ett tag sedan och ur Ubuntu och Debian nyligen. [0]
I Debian gick det en diskussion om att när CAcert togs bort (för att de inte verifierar identit tillräckligt tror jag) att även andra stora CAs borde tas bort för de signerar vad som helst som skickar pengar. De här stora CA tas inte bort för då blir besök på www med Debian totaldrygt för användarna som möts av NOT TRUSTED hela tiden. Stora CA är alltså för too big to fail och fortsätter att skeppas trots att de inte sköter sig enligt CA-policies osv.
Finns alternativ? Kan man tänka sig att implementera någon form av certificate pinning[1] på bredare front?
Monkeysphere [1] är ett alternativ som använder OpenPGP web of trust för att verifiera identitet.
[0] https://en.wikipedia.org/wiki/CAcert#Inclusion_status [1] http://web.monkeysphere.info/
-- Per