[Linuxtrent] Re: SSL e browsers. (era: Vatti a fidare)
- From: Roberto Resoli <roberto.resoli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Tue, 29 Mar 2011 12:26:47 +0100
Il 28/03/11, Flavio Stanchina<flavio@xxxxxxxxxxxxx> ha scritto:
...
>> In luogo della mappatura host->chiave pubblica, SSL usa i certificati,
>> che sono sostanzialmente una mappatura tra chiave pubblica e dati di
>> un'entità,
>> sigillata dalla firma di una trusted entity (la CA appunto).
>
> Certamente. Ma perché la regola non è tenersi una copia del certificato
> e segnalare in qualche modo se è cambiato?
In effetti è esattamente quanto viene fatto ultimamante nell'ambito
della firma digitale; gli standards *AdES (CAdES, XAdES, PAdES)
elaborati in ambito europeo come formati per la firma, prevedono che
venga firmato anche un riferimento al certificato originale del
firmatario, per bloccare attacchi tipo quello fatto verso Comodo.
Ovviamente bisognerebbe
> stabilire qualche procedura per gestire i certificati scaduti/in
> scadenza, ma per esempio immagino che generalmente al rinnovo di un
> certificato si riutilizzi la stessa chiave privata, quindi si potrebbe
> accettare senza discutere un nuovo certificato validato dalla CA *e* con
> la stessa chiave privata.
Si è una cosa simile a quella suggerita dalla persona che ha analizzato
l'uso dei sistemi di revoca nei browsers, unitamente all'uso di
certificati dalla vita molto breve (short-lived certificates in
letteratura) che semplificherebbe moltissimo la revoca. (rovesciando
la questione, si omette il rinnovo, piuttosto che revocare)
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
