> On 10 Apr 2021, at 11:01, Alex 'CAVE' Cernat <c...@cernat.ro> wrote:
>
> On 10-Apr-21 11:31, Iulian Roman wrote:
>> dar din pacate asta se intimpla (mai frecvent decit vrem sa credem ) , ceea
>> ce e destul de ingrijorator ! si toata chestia cu protectia TLS devine
>> debatable , dar asta e o total alta discutie.
>
> pentru ca tls interception sa functioneze din ce stiu trebuie in primul
> rand ca cineva sa-ti bage pe gat pe device un CA (nu ca ar fi mare
> branza in mediul enterprise, mai mult, au fost si cazuri - cu mare
> scandal - la nivel de tari intregi)
exact. a fost un mare scandal acu ceva ani cand Bluecoat a reusit sa semneze
intermediate CA-ul din echipamentele lor cu un trusted root ca.
>
> si cum lista de CA-uri a ajuns mare cat o zi de post, cine sta oare sa
> se uite de fiecare data sa vada ce "gunoaie" au mai aparut pe acolo?
>
> certificate pinning complica mult prea mult treaba, mai ales ca din ce
> in ce mai multa lume foloseste letsencrypt, caa-ul din dns e o solutie
> interesanta, insa nu stiu exact cat suport are (sa fim seriosi, nici
> macar partea de revocation nu stiu cat de serios e tratata de browsere,
> noroc cu letsencrypt ca expira dupa 3 luni automat :-P)
si aici e u mare mess se pare, sa nu mai vorbim de cum se face validarea tls de
non-browser software (am citit un studiu care explica ce urechist se face
validarea tls in non-browsers, inclusiv la big players).
>
> Alex
>
>
> _______________________________________________
> RLUG mailing list
> RLUG@lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
