On 28/03/2011 16:42, Roberto Resoli <roberto.resoli@xxxxxxxxx> wrote:
Il 28 marzo 2011 16:30, Flavio Stanchina<flavio@xxxxxxxxxxxxx> ha scritto:Paragoniamo questo meccanismo alla gestione delle host keys in ssh: quando mi connetto ad un host per la prima volta, ssh memorizza la chiave dell'host [...] La gestione dei certificati SSL nei browser non funziona così, vero? Perché no? :pPerchè SSH non usa certificati, mentre SSL si. In luogo della mappatura host->chiave pubblica, SSL usa i certificati, che sono sostanzialmente una mappatura tra chiave pubblica e dati di un'entità, sigillata dalla firma di una trusted entity (la CA appunto).
Certamente. Ma perché la regola non è tenersi una copia del certificato e segnalare in qualche modo se è cambiato? Ovviamente bisognerebbe stabilire qualche procedura per gestire i certificati scaduti/in scadenza, ma per esempio immagino che generalmente al rinnovo di un certificato si riutilizzi la stessa chiave privata, quindi si potrebbe accettare senza discutere un nuovo certificato validato dalla CA *e* con la stessa chiave privata.
-- Ciao, Flavio -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
