<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">

<div>

<blockquote type="cite"><br>

</blockquote>

<blockquote type="cite">No vengo siguiendo la discusión de DANE en profundidad, pero, para que<br>

necesitan un nuevo TLD ? Podrían crear algo bajo .arpa tranquilamente.<br>

</blockquote>

<div><br>

</div>

<div>Mi propuesta fue en respuesta al problema que tuvo .biz días atrás (<a href="https://isc.sans.edu/diary/.biz+DNSSEC+DNSKEY+is+Invalid/16046">https://isc.sans.edu/diary/.biz+DNSSEC+DNSKEY+is+Invalid/16046</a>)</div>

<div><br>

</div>

<div>Si tenemos una rama en el árbol de DNS con procedimientos enfocados en DNSSEC será mas confiable y usable esa información. </div>

<div><br>

</div>

<div>No es para tomarla en serio… Es solo un ejemplo de mejora (no solución) que podría aparecer como propuesta en un draft </div>

<div><br>

</div>

<div>Christian</div>

<br>

<blockquote type="cite"><br>

On 6/25/13 10:05 AM, Christian O'Flaherty wrote:<br>

<blockquote type="cite"><br>

Una propuesta para ese WG (el que distribuye certificados vía DNSSEC) puede ser la creación de un nuevo dominio en la raíz (TLD) que exija procedimientos mas seguros en los registres.

<br>

<br>

Será un ejercicio interesante que el IETF pueda crear un TLD sin permiso de ICANN :-)  Hasta podría incluírse que la actualización en la raíz para ese TLD tenga un proceso diferente… (que sea necesario y suficiente un pedido del IETF)<br>

<br>

Tal vez esa no es una buena idea, pero este tema es un buen ejemplo de: tema importante, no resuelto, discutido actualmente y que está en un buen momento para que los interesados se puedan involucrar (pensando en los estudiantes o docentes que están buscando

 temas de trabajo).<br>

<br>

Christian<br>

<br>

On Jun 25, 2013, at 10:45 AM, "Carlos M. martinez" <<a href="mailto:carlosm3011@gmail.com">carlosm3011@gmail.com</a>><br>

wrote:<br>

<br>

<blockquote type="cite">Jua! O varios otros BTW.<br>

<br>

On 6/25/13 9:26 AM, Arturo Servin wrote:<br>

<blockquote type="cite"><br>

  Mientras no tengas tu dominio bajo .biz todo esta bien.<br>

<br>

:D<br>

<br>

  Lo siento, no lo pude evitar.<br>

<br>

Slds<br>

as<br>

<br>

On 6/25/13 2:22 PM, Christian O'Flaherty wrote:<br>

<blockquote type="cite"><br>

Una idea para un próximo artículo del Blog puede ser DANE<br>

(<a href="https://datatracker.ietf.org/wg/dane/charter/">https://datatracker.ietf.org/wg/dane/charter/</a>)<br>

<br>

Me parece una solución mejor que los CA y si empezamos a usarlo<br>

afectará mucho el negocio de los certificados.<br>

<br>

Christian O'Flaherty - <a href="mailto:oflaherty@isoc.org">oflaherty@isoc.org</a> <<a href="mailto:oflaherty@isoc.org">mailto:oflaherty@isoc.org</a>><br>

Regional Development - Internet Society <br>

Skype/Gmail/Yahoo/Hotmail: christian.oflaherty <br>

Phone:+1 7034392761 Mobile:+598 98769636<br>

<br>

On Jun 25, 2013, at 5:36 AM, Arturo Servin <<a href="mailto:aservin@lacnic.net">aservin@lacnic.net</a><br>

<<a href="mailto:aservin@lacnic.net">mailto:aservin@lacnic.net</a>>><br>

wrote:<br>

<br>

<blockquote type="cite"><br>

 Claro, pero de donde salen esos auditores?<br>

<br>

 Al final creo que caemos en lo mismo, dependemos de que alguna<br>

entidad haga bien su trabajo.<br>

<br>

 La idea parace buena, pero desde mi punto de vista solo cambiamos de<br>

manos el problema, en este caso le delegamos la confianza de la CA, por<br>

ejemplo a Google. No?<br>

<br>

<br>

Slds<br>

as<br>

<br>

On 6/24/13 5:03 PM, Hugo Salgado wrote:<br>

<blockquote type="cite">On 06/24/2013 11:57 AM, Arturo Servin wrote:<br>

<blockquote type="cite"> OK.<br>

<br>

 Pero, si una CA poco escrupulosa envia el certificado por ejemplo de<br>

"gmail" entonces quedamos igual porque en el repositorio habria dos<br>

entradas; la de la CA buena y el de la CA poco escrupulosa.<br>

</blockquote>

Supongo que a esa altura sería política del repositorio hacer los<br>

chequeos antes de entregar el SCT. Y de todas formas, en el esquema<br>

propuesto, además hay "auditores" externos que son los que están<br>

verificando en el repositorio que no aparezcan certificados ilegítimos.<br>

<br>

Saludos,<br>

<br>

Hugo<br>

<br>

_____________________________________________<br>

Ietf-lac mailing list<br>

<a href="mailto:Ietf-lac@lacnog.org">Ietf-lac@lacnog.org</a> <<a href="mailto:Ietf-lac@lacnog.org">mailto:Ietf-lac@lacnog.org</a>><br>

Cancelar suscripcion: <a href="mailto:ietf-lac-unsubscribe@lacnog.org">ietf-lac-unsubscribe@lacnog.org</a><br>

</blockquote>

<br>

_____________________________________________<br>

Ietf-lac mailing list<br>

<a href="mailto:Ietf-lac@lacnog.org">Ietf-lac@lacnog.org</a> <<a href="mailto:Ietf-lac@lacnog.org">mailto:Ietf-lac@lacnog.org</a>><br>

Cancelar suscripcion: <a href="mailto:ietf-lac-unsubscribe@lacnog.org">ietf-lac-unsubscribe@lacnog.org</a><br>

<br>

</blockquote>

<br>

</blockquote>

<br>

<br>

<br>

_____________________________________________<br>

Ietf-lac mailing list<br>

<a href="mailto:Ietf-lac@lacnog.org">Ietf-lac@lacnog.org</a><br>

Cancelar suscripcion: ietf-lac-unsubscribe@lacnog.org<br>

<br>

</blockquote>

</blockquote>

<br>

</blockquote>

</blockquote>

</div>

<br>

</body>

</html>