[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [lp-br-sp] Fwd: Compartilho post da Electronic Frontier Foundation:
|
From: |
Sergio Durigan Junior |
|
Subject: |
Re: [lp-br-sp] Fwd: Compartilho post da Electronic Frontier Foundation: "Launching in 2015: A Certificate Authority to Encrypt the Entire Web" |
|
Date: |
Wed, 19 Nov 2014 23:16:25 -0500 |
|
User-agent: |
Gnus/5.13 (Gnus v5.13) Emacs/24.3 (gnu/linux) |
On Wednesday, November 19 2014, Thadeu Lima de Souza Cascardo wrote:
> On Wed, Nov 19, 2014 at 11:59:08PM -0200, Thadeu Lima de Souza Cascardo wrote:
>> Eu pretendia escrever algo mais curto sobre o assunto, mas encontrei um
>> texto cuja leitura ainda não concluí, mas gostaria de sugerir para
>> discussão no grupo.
>>
>> http://lair.fifthhorseman.net/~dkg/tls-centralization/
>>
>> Abraços.
>> Cascardo.
>
> E é claro: a mesma EFF sabe a merda que é o nosso modelo de confiança em
> CA:
>
> https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl
>
> É como se a EFF e a Mozilla cedessem ao "dos males, o menor",
> acreditando que é melhor a falsa sensação de segurança usando HTTPS com
> o modelo de CA a não ter criptografia alguma.
>
> No entanto, 1) nada impede de utilizar criptografia hoje com um
> certificado auto-assinado e adicionar no mix algo como o CertPatrol ou
> Monkeysphere; 2) a Mozilla faz um browser com uma boa fatia do mercado,
> o que permitiria que ela adotasse outro modelo por padrão em seus
> próximos releases.
O (2) seria ótimo não só pra isso mas pra várias coisas, mas não dá pra
contar com eles. Eles precisam *manter* a base de usuários, então
qualquer mudança é bastante estudada, pelo que vejo. Mas enfim, isso já
é offtopic aqui.
> Daí, não posso aceitar a desculpa de que era a melhor opção que tinham.
> Sinto muito, mas não posso dizer que estou feliz por essa iniciativa.
Eu estou conversando em privado com o Seth, que é um dos que estão
puxando esse projeto. Pedi permissão pra postar a mensagem dele aqui,
porque acho que seria útil pra discussão.
Além disso, ele mencionou o Certificate Transparency
(<http://www.certificate-transparency.org/>), que é uma iniciativa (do
Google) para criar um meio de detectar esses MITM que você havia
mencionado na outra mensagem. Estou estudando essa proposta (já está em
fase de "deployment", e é open source) pra conseguir argumentar melhor
sobre os possíveis problemas disso.
All in all, baixei um pouco a guarda com a iniciativa deles. Não é
definitivamente a melhor, mas pelo que li, eles estão "jogando de acordo
com as regras" (o que é um eufemismo pra "ceder ao \"dos males, o
menor\"", concordo).
--
Sergio
GPG key ID: 0x65FC5E36
Please send encrypted e-mail if possible
http://sergiodj.net/
pgpgQD8DmDVji.pgp
Description: PGP signature