Se trovo Google per inurl:http+keyserver
, sulle prime 10 pagine di risultati che riesco a trovare questi:
E questi sono solo i server delle chiavi basati su www. Hanno zero indizi sulla sicurezza IT? HTTPS non è un Santo Graal, ma è molto meglio del testo in chiaro! La corretta configurazione di HTTPS richiede che HTTP non sia abilitato (almeno un redir!) E un certificato HTTPS valido ...
Domanda: Perché non è obbligatorio che i server delle chiavi siano disponibili solo tramite HTTPS? Let's Encrypt di oggi è gratuito e non richiede manutenzione. C'è qualche buona ragione per non usare una connessione sicura (criptata e autentica)?
UPDATE : durante un MiTM, le chiavi che non vengono inviate tramite HTTPS possono essere modificate, quindi non importa che qualcuno possa caricare le chiavi su keyservers, il tutto è già perso! HTTPS dovrebbe essere obbligatorio! Almeno una possibilità migliore!