libreplanet-br-sp
[Top][All Lists]
Advanced

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [lp-br-sp] Fwd: Compartilho post da Electronic Frontier Foundation:


From: Sergio Durigan Junior
Subject: Re: [lp-br-sp] Fwd: Compartilho post da Electronic Frontier Foundation: "Launching in 2015: A Certificate Authority to Encrypt the Entire Web"
Date: Wed, 19 Nov 2014 23:16:25 -0500
User-agent: Gnus/5.13 (Gnus v5.13) Emacs/24.3 (gnu/linux)

On Wednesday, November 19 2014, Thadeu Lima de Souza Cascardo wrote:

> On Wed, Nov 19, 2014 at 11:59:08PM -0200, Thadeu Lima de Souza Cascardo wrote:
>> Eu pretendia escrever algo mais curto sobre o assunto, mas encontrei um
>> texto cuja leitura ainda não concluí, mas gostaria de sugerir para
>> discussão no grupo.
>> 
>> http://lair.fifthhorseman.net/~dkg/tls-centralization/
>> 
>> Abraços.
>> Cascardo.
>
> E é claro: a mesma EFF sabe a merda que é o nosso modelo de confiança em
> CA:
>
> https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl
>
> É como se a EFF e a Mozilla cedessem ao "dos males, o menor",
> acreditando que é melhor a falsa sensação de segurança usando HTTPS com
> o modelo de CA a não ter criptografia alguma.
>
> No entanto, 1) nada impede de utilizar criptografia hoje com um
> certificado auto-assinado e adicionar no mix algo como o CertPatrol ou
> Monkeysphere; 2) a Mozilla faz um browser com uma boa fatia do mercado,
> o que permitiria que ela adotasse outro modelo por padrão em seus
> próximos releases.

O (2) seria ótimo não só pra isso mas pra várias coisas, mas não dá pra
contar com eles.  Eles precisam *manter* a base de usuários, então
qualquer mudança é bastante estudada, pelo que vejo.  Mas enfim, isso já
é offtopic aqui.

> Daí, não posso aceitar a desculpa de que era a melhor opção que tinham.
> Sinto muito, mas não posso dizer que estou feliz por essa iniciativa.

Eu estou conversando em privado com o Seth, que é um dos que estão
puxando esse projeto.  Pedi permissão pra postar a mensagem dele aqui,
porque acho que seria útil pra discussão.

Além disso, ele mencionou o Certificate Transparency
(<http://www.certificate-transparency.org/>), que é uma iniciativa (do
Google) para criar um meio de detectar esses MITM que você havia
mencionado na outra mensagem.  Estou estudando essa proposta (já está em
fase de "deployment", e é open source) pra conseguir argumentar melhor
sobre os possíveis problemas disso.

All in all, baixei um pouco a guarda com a iniciativa deles.  Não é
definitivamente a melhor, mas pelo que li, eles estão "jogando de acordo
com as regras" (o que é um eufemismo pra "ceder ao \"dos males, o
menor\"", concordo).

-- 
Sergio
GPG key ID: 0x65FC5E36
Please send encrypted e-mail if possible
http://sergiodj.net/

Attachment: pgpgQD8DmDVji.pgp
Description: PGP signature


reply via email to

[Prev in Thread] Current Thread [Next in Thread]