[GTER] PTT-SP

[Douglas Fischer]

Se me lembro bem,
na última black hat houve até um grupo de estava fazendo apologia ao uso de
certificados autoassinados...

Na verdade não era bem isso.
Era mais uma coisa do gênero "Boicote à indústria de CAs."


Em 24 de agosto de 2014 20:43, Rubens Kuhl <rubensk at gmail.com> escreveu:

> 2014-08-24 19:32 GMT-03:00 Evandro Nunes <evandronunes12 at gmail.com>:
>
> > 2014-08-23 19:24 GMT-03:00 Alexandre Guima <
> alexandre.fguimaraes at gmail.com
> > >:
> >
> > > Tem datacenter que faz essa copia faz muito tempo.
> > >
> >
> > desculpe, que copia? de ca-root? rsss
> >
>
> Ele provavelmente se referisse à cópia de tráfego. No caso de CA-root a
> arquitetura usada em HSMs para essa classe de aplicação acaba prevenindo
> esse tipo de uso... mas que não é necessário: basta o governo americano
> solicitar à Symantec que emita um certificado assinado para qualquer site
> que queiram espionar, e se colocar no meio do caminho do tráfego fazendo
> split-SSL (decriptografa, guarda, encripta com a chave real e tunela de
> volta).
>
>
> nao sei que realidade voces vivem pra afirmar algo nesse sentido
> > principalmente sem qualquer evidencia
> > afinal uma afirmacao dessas nao diz respeito apenas ao dc mas a industria
> > de certificados como um todo
> > e ainda que o ssl/openssl e afins esteja hoje em dia tomando pancada,
> ainda
> > eh a unica tecnologia de confidencialidade que a industria se apoia
> >
> >
> A indústria de CAs é um dos pilares mais frágeis da confiabilidade da
> Internet atual, pois todo mundo tem que confiar em todas as CAs para todos
> os sites. Atrelar um site específico a uma CA específica, via DNSSEC, vai
> diminuir bastante esse vetor de ataques, mas enquanto isso os episódios já
> reportados de emissão indevida de certificados mostram o quão prático é
> esse vetor de ameaça.
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação