Consideriamo la seguente configurazione:
One has a decentralized network of servers. A single root certificate has been distributed to all servers which has been positively checked as authentic and untampered by each server owner using checksums distributed all over the internet. Each server connects to a centralized server (secured by the root certificate) over HTTPS and requests the signing of a certificate for itself, which is provided as long as it proves ownership of its domain. From that point on the server uses that certificate to identify itself and communicate over the network. Certificate pinning is used by all servers in the network and a new certificate is only accepted after the green light of the local server owner.
I problemi che questo cerca di risolvere:
- Proteggi la rete dagli attacchi del MITM e dalle intercettazioni, poiché la mia comprensione è che l'unica vera alternativa consiste in uno scambio manuale di chiavi tra ciascuna coppia di server (o nella costruzione di WoT, che ritengo altrettanto debole).
- Il fatto che richiedere ad ogni proprietario del server di pagare i certificati SSL è irrealistico.
Quali sarebbero i punti deboli di tale impostazione alla luce dei problemi che tenta di risolvere? Ciò di cui sono particolarmente curioso è se l'accesso temporaneo completo all'infrastruttura di server centralizzata possa teoricamente consentire l'intercettazione a lungo termine e / o la manomissione delle comunicazioni tra i server.