308 meneos
1994 clics
Lanzamiento en 2015: Una autoridad certificadora (CA) para encriptar toda la web [Eng]
Hoy, la EFF se complace en anunciar "Let's Encrypt" (Encriptemos), una iniciativa para una nueva autoridad certificadora (CA) junto con Mozilla, Ciso, Akamai, Identrust e investigadores de la Universidad de Michigan cuyo objetivo es eliminar las barreras de transición de la Web de HTTP a HTTPS. [...] La burocracia para obtener, instalar, y gestionar certificados es la mayor razón para que los sitios web sigan usando HTTP en lugar de HTTPS.
|
comentarios cerrados
El principal problema para tener un web https es que hasta hace dos años, era necesaria una IP para cada virtualhost. Eso se resolvió con el protocolo SNI, que es un protocolo de host virtual para SSL.
SNI usa TLS 1.2. Lamentablemente Windows XP no permite el uso de TLS 1.2 en Internet Explorer. Así que el principal motivo para no tener webs con SSL es :
1.- La ignorancia de los webmaster
2.- El maldito Windows XP y su Internet Explorer
En cualquier caso cualquier paso para tener más autoridades de certificación es de agradecer.
Y por último recordar a Mozilla que se deje de burocracia e incorpore a la FNMT como Autoridad Certificadora en Firefox: bugzilla.mozilla.org/show_bug.cgi?id=435736
La cosa ya va para 6 años.
Visto lo visto, la transición a HTTPS se hace cada día más necesaria.
El principal problema para tener un web https es que hasta hace dos años, era necesaria una IP para cada virtualhost. Eso se resolvió con el protocolo SNI, que es un protocolo de host virtual para SSL.
SNI usa TLS 1.2. Lamentablemente Windows XP no permite el uso de TLS 1.2 en Internet Explorer. Así que el principal motivo para no tener webs con SSL es :
1.- La ignorancia de los webmaster
2.- El maldito Windows XP y su Internet Explorer
En cualquier caso cualquier paso para tener más autoridades de certificación es de agradecer.
Y por último recordar a Mozilla que se deje de burocracia e incorpore a la FNMT como Autoridad Certificadora en Firefox: bugzilla.mozilla.org/show_bug.cgi?id=435736
La cosa ya va para 6 años.
Alguien podría haberle corregido el título, da repelús.
Para ese caso dicen que hay que usar certificados de tipo 2 que son 60 dólares y la burocracia de verificar los datos de la empresa. Vamos, el saca duros de cualquier certificado #6
.--.-..--..-.-..---.-.--.-.-..---.Compruébalo.:
bug435736.bugzilla.mozilla.org/attachment.cgi?id=483443
#11
www.cert.fnmt.es/certificados
Para mi que en 5/10 años ya la tenemos en el diccionario.
Sí, siempre y cuando no seas una empresa. Vamos, que no sirve para el 90% de las webs.
Porque si con el mero hecho de tener un certificado ya confías en quien habla contigo es quien dice ser estás jodido.
Las CAs tienen sentido en cuanto te fías de ellas y, por tanto, te fías de los certificados firmados por ellas.
Para que una CA certifique que paypal.com es paypal.com tendrá que tomarse la molestia de verificar que quien lo pide es, de verdad de la güena, quien dice ser. Si expides el certificado sin verificar nada, poco de fiar eres.
Donde hay un tutorial para hacerlo?
Además hay que importar no sólo uno, sino dos certificados: el FNMT Clase 2 y el FNMT-RCM. Y no soy yo quien lo dice: lo reconoce la propia FNMT
www.sede.fnmt.gob.es/preguntas-frecuentes/obtencion-de-certificados/-/
El https sirve para firmar y para cifrar. Debería haber un modo de cifrar sin necesidad de firma. Nos ahorraríamos las entidades certificadoras el 90% de las veces.
Eso si, de ningun modo son anglicismos, ya que se forma con raices griegas.
criptografía.
(Del gr. κρυπτός, oculto, y -grafía).
1. f. Arte de escribir con clave secreta o de un modo enigmático.
críptico, ca.
(Del gr. κρυπτικός, oculto).
1. adj. Perteneciente o relativo a la criptografía.
2. adj. Oscuro, enigmático.
3. adj. Bot. y Zool. Que se camufla en su entorno mediante su color, su olor o su aspecto. Plumaje críptico.
Aunque existen las palabras codificar y cifrar, creo que encriptar merece estar incluida, porque es otra cosa distinta a las palabras mencionadas, porque se utiliza casi exclusivamente a cifrar o codificar transmisiones o archivos digitales.
A ver quién es el guapo que entra en tu página web tras ver semejante aviso...
¿Que cualquier entidad certificadora pueda emitir un certificado válido de cualquier web/servicio? Por ejemplo, pongamos que Facebook usa certificados de DigiCert y pongamos que el gobierno chino, que es "de los malos" y que tiene una entidad certificadora en la que confían los navegadores, decide emitir un certificado para Facebook y empezar espiar las comunicaciones de activistas contrarios al gobierno chino... Pues nos van a tener posibilidad de detectar que te están espiando (a no ser que examines el certificado, te des cuenta que la CA es un poco "sospechosa" y te pongas a investigar por ahí) por que el navegador les va a mostrar un bonito candado verde indicando que te has conectado a un servidor legítimo y que las comunicaciones están encriptadas/cifradas/museguras.
Vale, pongamos que es ejemplo que he descrito es demasiado extremo, que el gobierno chino (o cualquier otro gobierno) va a poder espiarte por otros métodos, y que en ese caso es mejor emplear otro tipo de medidas como VPN o TOR...
Pongamos otros ejemplos, como que comprometan la seguridad de una entidad certificadora (www.securitybydefault.com/2011/03/me-incomodo.html o www.securitybydefault.com/2011/08/compromiso-de-la-autoridad.html) o que por un "error humano" se les escape la clave privada de algún certificado intermedio (www.securitybydefault.com/2013/01/algunas-reflexiones-sobre-el-ultimo-).
Y lo que propone la EFF es: una nueva entidad certificadora que emita certificados gratis y sin comprobar si eres o no el propietario del servicio/web. Pues a mi me suena a precisamente lo contrario a mejorar la seguridad en SSL/TLS. De hecho me entristece bastante que esta propuesta venga de una entidad tan reputada en estos asuntos como la EFF...
Yo creo que la solución va más en cosas como certificate pinning (esto lo veo más como una chapuza temporal, pero que es mejor que lo que tenemos) o DANE en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities (que sí lo veo como la solución, pero viendo al ritmo que se extienden los estándares, tendremos suerte si esto se acaba funcionando sobre el 2025 )
En fin, que No Future.
Luego está la de "encriptar es meter en una cripta" (en este caso #8 y #45, pero siempre hay alguien), demostrando que saben que se pueden formar derivadas con otras palabras del castellano y lexemas de nuestra herencia greco-latina al mismo tiempo que ignoran el origen de la palabra "cripta" y las palabras si aceptadas como "críptico" o "criptografía".
Es casi poético, si atendemos al significado original de cripta, encriptar es efectivamente "meter en lo oculto y oscuro la información".
Una clase de lengua, sobre lexemas y morfemas:
en- -> Prefijo verbal parasintético (es decir, para crear verbos parasintéticos).
cript -> raiz griega. Oculto.
-ico -> sufijo de raiz griega. perteneciente o relativo a -.
-ar -> sufijo verbal de la primera conjugación.
lexema + sufijo
cript + -ico(relativo a ) = críptico
prefijo + lexema + sufijo
en + cer(a) + ar = encerar
en + cript(ico) + ar = encriptar.
Si aún te quedan dudas de que no es un "false friend", sino que es una palabra perfectamente válida en español, con un origen etimológico sólido, un uso correcto, y una corrección gramatical muy poco común en los neologísmos, vuelve a 4º de primaria.
Esto lo digo porque a veces parece que este tipo de quejas son simple y llanamente por tener una mente cerrada. En nuestro día a día usamos palabras cuyo significado etimológico ya no tiene nada que ver con el significado que le damos, y NO importa.
Además, no quiero desmerecer la RAE, ¿pero desde cuando dicta como se debe hablar? Siempre ha dado sugerencias, y siempre ha ido recolectando lo que se habla, no imponiendolo.
"Dame una perdida" -> Realiza una conexión mediante tu aparato que envía señales electricas a distancia por el aire, a otro dispositivo mío, sin llegar a establecer una comunicación.
Cifrar está muy bien para que no vean lo que digas una vez establecida la conexión, pero cifrar sin autenticar cuando estás en red es vulnerable a Man In The Middle, lo que significa que
Modelo actual:
Me conecto a Paypal.com => Petición DNS para obtener la IP => Atacante intercepta y me manda su IP => Me conecto a su IP => El certificado que me presenta no se corresponde con Paypal.com, o se corresponde pero la CA no es de fiar (Lolailo CA, quién cojones es ese?) => El navegador aborta y me muestra esa pantalla, como debe
Modelo que proponéis:
Me conecto a Paypal.com => Petición DNS para obtener la IP => Atacante intercepta y me manda su IP => Me conecto a su IP => El atacante me manda un certificado que se corresponde con Paypal.com firmado por Lolailo CA, o autofirmado => Mi navegador es monguer y me muestra la pantalla de login, donde meto mis credenciales => Profit para el atacante
Por eso el navegador muestra una pantalla como si una banda de estafadores nigerianos quisieran hacerse con tus credenciales. Porque por lo que sabe eso podría estar pasando
Pero es que no lo hace. Si hay mitm, tampoco hay privacidad, porque cualquiera puede interceptar la comunicación y no lo verías.
O sea, una conexión http cualquiera sin medios ni recursos puede espiarte. Con una https necesitas crear un problema de seguridad para poder hacerlo.
www.viruslist.com/sp/viruses/news?id=208274832
Por cierto si veo una web auto-firmada, por lo general no entro. Me resulta tremendamente sospechoso.
Salu2
Que si quieres explicarnos porque encriptar es un anglicismo yo encantado, tengo ganas de que alguien lo haga por fin siempre que sale esta conversación. Tiene que ser curiosa la explicación, teniendo en cuenta que lo más probable es que el inglés lo haya cogido de alguna lengua romance o del latín directamente.
(Anglicismo, que no false friend, no se si sabes lo que es un false friend pero entonces estarías diciendo que la palabra encriptar si existe en castellano, que creo que es contrario a tu intención).
En fin, que entre el uso incorrecto de false friend y de "discusión":
lema.rae.es/drae/?val=discusión
lema.rae.es/drae/?val=discutir
1. tr. Dicho de dos o más personas: Examinar atenta y particularmente una materia.
2. tr. Contender y alegar razones contra el parecer de alguien. Todos discutían sus decisiones. U. m. c. intr. Discutieron con el contratista sobre el precio de la obra.
No dejas muy bien parada tu autoridad en temas lingüísticos.
Me mosquea la gente que considera "discutir" como algo negativo, siendo lo más productivo que se puede hacer al hablar.
Si te molesta el tono, como ha hecho ya #65, mis disculpas, no es mi intención ser hiriente sino más bien directo y claro. Sobre mi interés por conocer alguna explicación etimológica que indique que "encriptar" es préstamo inglés, no es sarcasmo, realmente me interesaría conocer esos argumentos para poder valorarlos.
davidcantone.com/visibilidad-google/
¿De verdad los buscadores valoran la contravención de las normas del propio idioma?
Porque tal y como está planteado ahora, si yo quiero cifrar los datos de mi web a mis visitantes, o pago una pasta al año por un certificado o autofirmo uno y sale ese horrible mensaje. Con lo sencillo que sería poner algo como un color naranja al HTTPs que indicara al usuario que la conexión está cifrada pero que no se confía en dicho certificado (y un popup que avisara del peligro de introducir datos sensibles), en vez de un mensaje aterrador que aparece ahora y que acojona al más inocente.
Pero claro, lo de los certificados es un negocio muy lucrativo, ¡para que lo van a chafar! Es algo similar al sistema que sacaron de un simple https verde, o un enorme recuadro verde (para resaltar la conexión segura); otra forma de sacar más dinero a los que necesitan cifrar la conexión.