Trovato qualcosa correlato Perché i download di applicazioni non vengono eseguiti regolarmente su HTTPS?
Questa è una domanda sulla sicurezza generale da parte di un noob. Non sono riuscito a trovare nulla di rilevante su questo argomento tramite le mie ricerche su Google. Google preferisce visualizzare i problemi reali delle applicazioni con java e amp; SSL / HTTPS, / download.Perché Oracle offre ancora gli archivi JDK (Java Development Kit) ufficiali tramite HTTP in chiaro?
Sono sinceramente curioso, perché la tecnologia IT (Twitter, Google, Facebook, Github, ..., roba interessante) sembra avanzare verso la crittografia HTTPS end-to-end, così che se ci fidiamo delle CA (vedi di seguito), dovremmo avere una buona garanzia che il software (o il codice) scaricato da questi siti sia originale. Java e altre comunità intorno a JVM sembrano attive, e tuttavia, la società che paga lo sviluppo della JVM ufficiale non può permettersi di aggiornare il suo sito web con download su SSL / TLS.
Sono molto curioso di questo in generale, perché le persone su Internet sembrano scrivere molto sui bug nel software di crittografia (come Heartbleed e altri che ho dimenticato) e tuttavia, molte persone e aziende non sono effettivamente coinvolte nel download di ingegneria del software ed esegui codice che può essere facilmente infettato dal MITM (e ora sappiamo quasi certamente che alcune potenti entità lo fanno).
Quanto possiamo fare affidamento sull'Autorità di certificazione? AFAIK, alcuni dei quali sono in paesi, dove la singola entità (gov) può fare di nascosto qualsiasi cosa voglia sulle loro macchine.