Integridad de Oracle JDK descargado (/ software en general) [duplicado]

1

Encontré algo relacionado ¿Por qué las descargas de aplicaciones no se realizan habitualmente? sobre HTTPS?

Esta es una pregunta acerca de la seguridad general de un noob. No pude encontrar nada relevante sobre este tema a través de mis búsquedas en Google. Google prefiere mostrar los problemas reales de las aplicaciones con java & ssl / https / downloads.

¿Por qué Oracle sigue ofreciendo sus archivos oficiales JDK (Java Development Kit) a través de HTTP de texto sin formato?

Realmente soy curioso, porque la tecnología de TI (Twitter, Google, Facebook, Github, ..., cosas geniales) parece estar avanzando hacia el cifrado de extremo a extremo HTTPS, por lo que si confiamos en los CAs (ver a continuación), deberíamos tener una buena garantía de que el software (o el código) descargado de estos sitios es original., Java y otras comunidades alrededor de JVM parecen estar activas, y aún así, la compañía que paga el desarrollo de la JVM oficial no puede darse el lujo de actualizar su sitio web. con descargas a SSL / TLS.

Tengo mucha curiosidad acerca de esto en general, porque la gente en Internet parece escribir mucho sobre errores en el software criptográfico (como Heartbleed y otros que olvidé) y, sin embargo, muchas personas y empresas no participan en la ingeniería de software. y ejecute un código que puede ser fácilmente infectado por MITM malintencionado (y ahora casi con certeza sabemos que ciertas entidades poderosas realmente hacen esto).

¿Cuánto podemos confiar en las Autoridades de Certificación? AFAIK, algunas de ellas están en países, donde una sola entidad (gobierno) puede hacer de forma encubierta lo que quiera en sus máquinas.

    
pregunta sqxmn 23.07.2016 - 01:55
fuente

2 respuestas

1

El JDK se ofrece a través de HTTP porque también ofrece un hash para que lo confirmes a través de canales seguros . Dado que el hash se encuentra en un canal seguro, si ese hash no se puede confirmar, no debe usar la descarga. El hecho de que la parte de la verdad (el hash con el que se verifica) se entregue de manera segura significa que pueden ofrecerla a través de HTTP porque podrá verificar con seguridad si la descarga se modificó en tránsito.

Las autoridades de CA no eran realmente confiables . Estaban destinados a ser un lugar para que las personas verifiquen si emitieron un certificado. Eso es todo lo que confirman, es que el certificado vino de ellos. ¿Significa esto que debes ser escéptico? Probablemente no.

Las tiendas de confianza de navegador / computadora son lo que realmente confías aquí para mantenerte seguro. Esto se debe a que la confirmación de un CERT de SSL es un proceso de confianza de varias partes entre usted, su computadora, su navegador, el servidor DNS y el servidor de CA. Si las cinco partes no están de acuerdo, no confías en eso, y no vas a ello. A menudo, las CA tienen sus direcciones de servidor almacenadas en esos almacenes de fideicomiso y, si se reconocen como una de las muchas CA grandes, el navegador las confiará y confirmará el certificado (porque alguien las revisó por adelantado y las encontró confiables). Si la CA no está en la lista, es probable que reciba una advertencia de que no se puede confiar en el certificado (ya que la CA aún no es de confianza en uno de los pasos de la cadena de confianza que está utilizando). Muchas veces, esto le da una advertencia de "Le gustaría REALMENTE continuar" que puede decir "Realmente lo hago" y aún me conecto. Sin embargo, si vas a un sitio y no están usando una CA en la tienda de confianza ... ¿Por qué vas a ese sitio a menos que REALMENTE confíes en él?

Por supuesto, esa advertencia puede aparecer si también usan su propia CA interna, pero generalmente en ese momento probablemente haya instalado el CERT en su navegador / tienda de computadoras, y esa advertencia no debería aparecer porque Le he dicho a su sistema que confíe en ellos. En ese caso, la cadena de confianza está con usted y el servidor. Todo lo que hay en tu sistema está listo para el viaje.

TL, DR

Debería estar bien a menos que no estén en su lista de confianza. En ese caso obtendrás una advertencia. Entonces depende de ti confiar en ellos o no.

Realmente usted es lo que decide en qué certificados se confían. Los navegadores y las computadoras ofrecen algunos de forma predeterminada, y la mayoría de los usuarios lo aceptan y finalmente lo agregan a la lista. Algunos no lo hacen y construyen su propia lista de CAs. Ambas son buenas opciones siempre y cuando usted esté haciendo prácticas seguras.

    
respondido por el Robert Mennell 23.07.2016 - 02:49
fuente
1
  

AFAIK, algunos de ellos están en países, donde una sola entidad (gobierno) puede   encubierta haga lo que quiera en sus máquinas.

Sí, muchos países son así hoy en día.

Lamentablemente, con respecto a los gobiernos, el sistema de AC no es (y nunca fue) seguro.

Las CA aún son buenas para evitar que algunas personas y organizaciones ataquen, pero no todas.

    
respondido por el deviantfan 23.07.2016 - 02:14
fuente

Lea otras preguntas en las etiquetas