On 3/29/11 12:57 PM, Stefano Zanero wrote: > Cari amici, > > dopo aver visto l'imbarazzante evento dell'hacking a Comodo (qui un mio > piccolo rant personale: > http://raistlin.soup.io/post/119155650/Comodo-hack-my-opinion), secondo > me dovremmo immediatamente trarre alcune riflessioni relative alla > recente e sciagurata iniziativa legislativa del nuovo CAD.
Guarda, evito di buttarmi in considerazioni di carattere legislativo/sociologico. Mi limito ad una considerazione strettamente tecnico-economica: questa è esattamente la ragione per la quale giocare al dumping/ribasso dei servizi è -a volte- *male*. Quando vedo CA ricevere il CSR, inviare mail di autorizzazione e rilasciare il CRT in 3 minuti, francamente trovo sia da alzare le orecchie. Io mi rendo perfettamente conto del fatto che al cliente che acquista un certificato rode un po' il didietro a spendere 100/200€ -quando va bene- per un certificato. Ma ho l'illusione di pensare che dietro alla mera esecuzione di un "openssl ca" vi sia anche un minimo di lavoro di una persona che si prende cura di verificare (sia pur con un livello di dettaglio al più approssimativo) che lui sia chi dice di essere, che giustifica sia la spesa economica che -soprattutto- la necessità di attendere anche mezza giornata che qualcuno abbia il tempo di dare un occhio alla "pratica". Ciò nonostante, questo non è ciò che richiede *il mercato*: un certificato è un certificato (purchè la CA sia nella keychain, chissenefrega, giustamente), meno mi costa e meglio è. Inevitabile che questo comporti l'ingresso in una infinita spirale discendente, in cui la firma di un certificato costa sempre meno e garantisce sempre meno, per ragioni che nulla hanno a che vedere con la sicurezza crittografica dei meccanismi sottesi. Forse, sarebbe il caso di farci un ragionamento sopra, tutto sommato, quantomeno per evitare che gli stessi problemi vadano a impattare tecnologie nascenti e in quale maniera assimilabili (penso ad es. a DNSSEC)... -- Paranoia is a disease unto itself. And may I add: the person standing next to you may not be who they appear to be, so take precaution. ----------------------------------------------------------------------------- http://bofhskull.wordpress.com/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
