[Linuxtrent] Re: SSL e browsers. (era: Vatti a fidare)

From: Flavio Stanchina <flavio@xxxxxxxxxxxxx>
To: linuxtrent@xxxxxxxxxxxxx
Date: Mon, 28 Mar 2011 16:30:11 +0200

On 28/03/2011 16:16,
Flavio Stanchina <flavio@xxxxxxxxxxxxx> wrote:

Certo che no, ma parliamo sempre del caso contingente, cioè qualcuno che
è riuscito ad ottenere in modo fraudolento un certificato assolutamente
normale da una CA riconosciuta: se non ho salvato il certificato
originale tra i miei certificati e mi fido delle CA, il browser accetta
il nuovo certificato offerto dal MITM senza battere ciglio.

...tutto ciò è corretto se il browser si fa dare il certificato ognivolta che si connette ad un certo sito e non lo salva da qualche parte.


Paragoniamo questo meccanismo alla gestione delle host keys in ssh:

quando mi connetto ad un host per la prima volta, ssh memorizza lachiave dell'host nel file ~/.ssh/known_hosts; se ad una connessionesuccessiva la chiave è cambiata, ssh lo segnala vivacemente e bisognaintervenire a mano rimuovendo la chiave precedente, ovviamente dopo aververificato che il cambio sia legittimo e che non sia per l'appunto un MITM.

La gestione dei certificati SSL nei browser non funziona così, vero?Perché no? :p


--
Ciao, Flavio
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Follow-Ups:
- [Linuxtrent] Re: SSL e browsers. (era: Vatti a fidare)
  - From: Roberto Resoli

References:
- [Linuxtrent] SSL e browsers. (era: Vatti a fidare)
  - From: Roberto Resoli
- [Linuxtrent] Re: SSL e browsers. (era: Vatti a fidare)
  - From: Flavio Stanchina
- [Linuxtrent] Re: SSL e browsers. (era: Vatti a fidare)
  - From: Roberto Resoli
- [Linuxtrent] Re: SSL e browsers. (era: Vatti a fidare)
  - From: Flavio Stanchina

[Linuxtrent] Re: SSL e browsers. (era: Vatti a fidare)

Other related posts: