[e-privacy] Fwd: [liberationtech] The Internet Kill Switch; With Global Wiretapping Capability?

[vecna]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Andrea Trentini wrote:
> che ne dite?
> 

ciao a tutti, ne ho parlato con altri amici, e abbiamo convenuto che non
si è ben capito il ruolo di MarkMonitor

MarkMonitor non gestisce i DNS, ma tiene traccia delle loro scadenze,
non gestisce certificati, ma, stessa cosa, fa si che nella giungla di
"cose da rinnovare", nessuno dell'azienda si dimentichi di farlo. O si
rischia l'effetto mediaset.com :D

Quel che dice francesco, cmq è condivisibile: la strutturazione della CA
porta fin qui, e la diffusione di emettitori di certificati, da CA di
secondo livello, riconosciute, è enorme. La quantità di problemi di
sicurezza, mazzette, sgami e dataloss che possono aver subito è enorme.

L'unica difesa son diventati i "certificati pinned", vorrei una
traduzione migliore :D tipo, il certificato di google.com è hardcodato
nei browser [1], la verifica non viene fatta sul certificato
falsificabile qualora una CA fosse stata corrotta, e il danno quantomeno
puo' essere contenuto.

se MarkMonitor fosse proprietaria dei server DNS di tutte quelle entità
indicate, allora ci sarebbe senza dubbio un grosso problema... ma io non
la chiamerei "global wiretapping" e neppure "kill switch", anche se la
quantità di potere in mano ad una sola entità, supererebbe il limite del
ragionevole.

Magari un intervento ad e-privacy, su queste questioni, qualcuno si
sente di tenerlo ?

ciao,
v


[1] in chrome. in firefox, mi sembra si possa far richiesta che il
proprio certificato venga "pinnato", un po' come il certificato di
windows update è hardcodato nel software distribuito.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iD8DBQFPrPW4uEIJPcZ2VDARAmY8AKCL3kGldjcs+gYC2ZbU1p9rXfubnQCgqRT6
jdZa/39/G3jbbdQhwJOJ1lU=
=1isS
-----END PGP SIGNATURE-----