On 28/03/2011 10:52, Roberto Resoli <roberto.resoli@xxxxxxxxx> wrote:
Ho letto un po'meglio la pagina[1] postata da Daniele sulla presenza di alcuni certificati server emessi in modo fraudolento e fuori del controllo della CA "Commodo" [...]
"Comodo" con una 'm', per amor di precisione! :)
3) Non c'è indizio che qualche client abbia usato questi certificati prima della loro revoca: "Monitoring of OCSP responder traffic has not detected any attempted use of these certificates after their revocation." [...] 3) indica che non vi è indizio di alcun danno evidente.
Se ho capito bene come funziona il meccanismo: se il server OCSP avesse ricevuto una richiesta relativa a questi certificati si avrebbe la certezza che qualcuno li ha usati, ma mi par di capire che a) ben pochi browser hanno OCSP abilitato per default, b) il man-in-the-middle avrebbe ragionevolmente intercettato anche le richieste al server OCSP, bloccandole o dando risposte fasulle.
Quindi l'assenza di richieste OCSP non è una prova che quei certificati non siano stati usati. Giusto?
-- Ciao, Flavio -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx