Le buone notizie devono avere pari opportunità di quelle brutte e quindi eccone qui due fresche fresche.
La prima buona nuova è che dopo il mio post Verisign ha modificato le pagine di download da http ad https per le certificate authorities di Verisign, Thawte e GeoTrust. Ringrazio perciò Allen Kelly per aver mantenuto la promessa.
Spero che le altre CA interessante dal problema seguano l’esempio di Verisign.
Nel mio post successivo Fabrizio ha lasciato un commento sollevando un dubbio riguardo al download delle Certificate Trust List eseguito periodicamente da Windows Update. Le CTL vengono usate per validare dei certificati (ad esempio quelli delle Certificate Authorities) per una specifica applicazione (nella fattispecie Windows Update).
Fabrizio ha osservato che il download delle trust list viene eseguito via http e quindi potenzialmente soggette ad un attacco di tipo Man In The Middle.
E qui viene la seconda buona notizia. Pur non avendo potuto provare ad eseguire uno sniffiing di persona di ciò che avviene, ho chiesto lumi e mi è stato risposto in modo soddisfacente. In sostanza esiste un ‘agent’ che scarica le Certificate Trust List via http ma anche un hash SHA1 via https per validare il download http. L’hash è protetto da https e funge da ‘firma’ per il cab che contiene le certificate trust list (CTL).
Questo significa che se il download http venisse compromesso, l’agent vedrebbe un hash differente da quello scaricato via https e di conseguenza invaliderebbe il download.
Se qualcuno non si fida o semplicemente ha tempo da dedicare per toccare con dito quanto ho scritto può eseguire un log di tutta la sessione e verificare che viene scaricato anche l’hash SHA1. In questo caso mi farebbe piacere che commentasse su questo post per dare notizia dei test eseguiti.