[LugBS] [OT] Certificati SSL
Andrea Gelmini
andrea.gelmini a gmail.com
Mer 9 Maggio 2012 12:29:19 UTC
Il 09 maggio 2012 11:53, Francesco <francesco a gibilogic.com> ha scritto:
> Volevo solo condividere ed eventualmente raccogliere informazioni da
> qualcuno che abbia avuto la stessa esigenza.
Diciamo che la situazione è disperata da ogni punto di vista.
Non ho modo ora di cercarti i link delle fonti dei fatti che ti cito,
ma la maggior parte li trovi su lwn.net.
Per farla breve, dal punto di vista prettamente tecnico basti dire che
meno del 5% dei certificati censiti (con censito intendo un lavoro di
anni di raccolta di certificati in giro per il web) è considerato
crittograficamente sicuro. Abbiamo visto problemi di varia natura, dai
certificati pubblici (tanti) generati dalle stesse chiavi private
(tante), fino ad arrivare alla malafede/incuranza dei certificatori
che hanno rilasciato a ignoti certificati per *.google.com.
Tutto il meccanismo di SSL, dal punto di vista della delegazione ai
certificatori, è fortemente messo in discussione negli ultimi anni, e
anche le contromisure prese dai vari produttori di browser/erogatori
di servizi (vedi Google), si scontrano con tutte le problematiche che
puoi facilmente immaginare.
Il punto è che SSL - per come è la situazione attuale - offre il mero
vantaggio della cifratura del traffico http (il che non è poco). Non
vi è ragione, però, dal punto di vista tecnico di dargli fiducia.
Necro, se ha tempo/voglia, può sicuramente fornirti i link delle cose
che ti ho narrato.
A presto,
Gelma
n.b.: Francesco, il tuo messaggio casca a fagiolo. Volevo chiamarti.
Fammi sapere quando posso disturbarti.
Maggiori informazioni sulla lista
Lug
|
