Encontré algo relacionado ¿Por qué las descargas de aplicaciones no se realizan habitualmente? sobre HTTPS?
Esta es una pregunta acerca de la seguridad general de un noob. No pude encontrar nada relevante sobre este tema a través de mis búsquedas en Google. Google prefiere mostrar los problemas reales de las aplicaciones con java & ssl / https / downloads.¿Por qué Oracle sigue ofreciendo sus archivos oficiales JDK (Java Development Kit) a través de HTTP de texto sin formato?
Realmente soy curioso, porque la tecnología de TI (Twitter, Google, Facebook, Github, ..., cosas geniales) parece estar avanzando hacia el cifrado de extremo a extremo HTTPS, por lo que si confiamos en los CAs (ver a continuación), deberíamos tener una buena garantía de que el software (o el código) descargado de estos sitios es original., Java y otras comunidades alrededor de JVM parecen estar activas, y aún así, la compañía que paga el desarrollo de la JVM oficial no puede darse el lujo de actualizar su sitio web. con descargas a SSL / TLS.
Tengo mucha curiosidad acerca de esto en general, porque la gente en Internet parece escribir mucho sobre errores en el software criptográfico (como Heartbleed y otros que olvidé) y, sin embargo, muchas personas y empresas no participan en la ingeniería de software. y ejecute un código que puede ser fácilmente infectado por MITM malintencionado (y ahora casi con certeza sabemos que ciertas entidades poderosas realmente hacen esto).
¿Cuánto podemos confiar en las Autoridades de Certificación? AFAIK, algunas de ellas están en países, donde una sola entidad (gobierno) puede hacer de forma encubierta lo que quiera en sus máquinas.