Sep 5, 2011

Sarà pure, ma a me non risulta.

"Google, Mozilla and Microsoft ban the DigiNotar Certificate Authority in their browsers".
"According to multiple blog posts, Google, Mozilla and Microsoft have already banned the DigiNotar Certificate Authority in their browsers."
Qui invece e' ancora tutto come prima:








Niente nemmeno su Microsoft Update:


E comunque, questo mi convince ancora di piu' del fallimento dell'idea di PKI: la PKI ha uno strumento apposito per gestire queste situazioni, e si chiama CRL (Certificate Revocation List), cioe' la lista che dovrebbe essere controllata ogni volta prima di accettare un certificato digitale. Non solo le CRL non le controlla nessuno (vedere qui sotto il settaggio di default di IE), ma quando c'e' una compromissione grave come nel caso di DigiNotar e si e' costretti a rimuovere il certificato dall'elenco delle CA trusted (perche' appunto le CRL non le controlla nessuno), ci vogliono giorni e giorni. 


Non so se avete mai provato ad abilitare il controllo delle CRL. L'ultima volta che l'ho fatto, l'impatto in termini di rallentamento della navigazione sui siti HTTPS e' stato notevole.


PS: stessa situazione sul MAC:

No comments: