[GTER] Whois e o Servico de disponibilidade de dominios
Aristeu Gil Alves Jr
aristeu.jr at gmail.com
Wed Feb 21 01:42:43 -02 2007
Em 20/02/07, Nelson Murilo<nelson at pangeia.com.br> escreveu:
> On Tue, Feb 20, 2007 at 08:19:42PM -0200, MARLON BORBA wrote:
> > razão pela qual sugeri o uso de chaves autogeradas.
> >
>
> E como isso se daria na pratica?
Vejo dois problemas: na checagem e na distribuição de certificados.
O conceito que entendi é o registro.br assinar os certificados dos
seus clientes atuando como entidade certificadora e registradora, e
aceitando acessos apenas dos clientes autenticados via certificado.
Bom, isso para acesso web seria implementável, mas o whois ficaria
quebrado. Seria possivel usar algum tunel TLS, como openvpn, mas
imagino a dificuldade...
No quesito distribuição de certificados, apenas o registro.br seria
obrigado a ter um certificado de entidade certificadora oficial, pago,
com certificado raiz pré-instalado nos clientes. Usaria este para
assinar seus "certificados auto-assinados" antes de distribui-los aos
clientes.
> E depois como garantir que o dono e´ que
> esta apresentado a chave?
Esse ponto é dificil mesmo.
Mas, de qualquer forma, imagino que fica mais fácil identificar abuso
vindo de um usuário registrado, dificultando abusos anônimos
distribuidos. Também fica mais dificil abusar - supondo que é bem mais
facil roubar um monte de IPs quaisquer, para burlar controles de abuso
do whois em nivel de rede, do que roubar vários certificados, para
esconder uma ação abusiva.
Em tempo: no ISC estão mostrando um worm que se propaga, entre outras
fontes, via contatos do whois.
(http://isc.sans.org/diary.html?storyid=2277) Seria hora de repensar o
protocolo?
--
Aristeu Gil Alves Jr
More information about the gter
mailing list