[GTER] PTT-SP
Rubens Kuhl
rubensk at gmail.com
Sun Aug 24 20:43:48 -03 2014
2014-08-24 19:32 GMT-03:00 Evandro Nunes <evandronunes12 at gmail.com>:
> 2014-08-23 19:24 GMT-03:00 Alexandre Guima <alexandre.fguimaraes at gmail.com
> >:
>
> > Tem datacenter que faz essa copia faz muito tempo.
> >
>
> desculpe, que copia? de ca-root? rsss
>
Ele provavelmente se referisse à cópia de tráfego. No caso de CA-root a
arquitetura usada em HSMs para essa classe de aplicação acaba prevenindo
esse tipo de uso... mas que não é necessário: basta o governo americano
solicitar à Symantec que emita um certificado assinado para qualquer site
que queiram espionar, e se colocar no meio do caminho do tráfego fazendo
split-SSL (decriptografa, guarda, encripta com a chave real e tunela de
volta).
nao sei que realidade voces vivem pra afirmar algo nesse sentido
> principalmente sem qualquer evidencia
> afinal uma afirmacao dessas nao diz respeito apenas ao dc mas a industria
> de certificados como um todo
> e ainda que o ssl/openssl e afins esteja hoje em dia tomando pancada, ainda
> eh a unica tecnologia de confidencialidade que a industria se apoia
>
>
A indústria de CAs é um dos pilares mais frágeis da confiabilidade da
Internet atual, pois todo mundo tem que confiar em todas as CAs para todos
os sites. Atrelar um site específico a uma CA específica, via DNSSEC, vai
diminuir bastante esse vetor de ataques, mas enquanto isso os episódios já
reportados de emissão indevida de certificados mostram o quão prático é
esse vetor de ameaça.
Rubens
More information about the gter
mailing list