Affidabilità delle autorità di certificazione e dei certificati nel 2015

0

Mi è capitato di imbattersi in questo articolo in Netcraft. L'articolo afferma che molte delle principali CA hanno distribuito centinaia di certificati a organizzazioni false.

C'è qualche verità in queste affermazioni? Esistono dati per supportarlo?

È anche preoccupante che questi falsi certificati siano stati emessi da molte delle principali CA. In passato non ho mai sentito parlare di un incidente simile su scala così grande (potrei essere ignorante qui, sentitevi liberi di illuminarmi). La qualità di PKI per il Web è diminuita ultimamente?

    
posta JOW 19.10.2015 - 11:36
fonte

1 risposta

1

Are there any truth to these claims? Is there any data to support it?

Quali dati sono necessari per supportare le affermazioni oltre a quelle già contenute nell'articolo? Netcraft di solito non è un'azienda che fa affermazioni infondate.

Has the Quality of PKI for the web gone down lately?

Io non la penso così Ma dal momento che sempre più utenti collegano SSL con sicurezza e siti di phishing vogliono sembrare sicuri, il sistema esistente di assurdi controlli da parte della CA viene maggiormente abusato. La maggior parte degli utenti non capisce che SSL protegge solo il trasporto e rilascia dichiarazioni sulla sicurezza del sito stesso.

Ma in realtà, dal punto di vista di una potenziale vittima un sito come https://phypal.com (esempio dell'articolo Netcraft) probabilmente non è più affidabile di https://paypal.secure-payments.toplevel o https://support.toplevel/paypal/ che probabilmente potresti creare facilmente anche quando controlli più severi sono fatto dalla CA. Di solito ci sono molti modi per rendere affidabile il tuo sito. Secondo me è molto più importante educare gli utenti sul tipo di sicurezza che possono ottenere da SSL e su cosa non protegge.

    
risposta data 19.10.2015 - 12:27
fonte