[LACNIC/Seguridad] sobre certificados de los sitios

Ing. Eduardo Carozo eduardo.carozo en csirt-antel.com.uy
Dom Mayo 29 17:08:02 BRT 2011 

Entiendo que lo importante no es tanto las propiedades tecnicas del certificado sino sobre todo la seriedad de la cadena de confianza para obtenerlos. 
Los costos de mantener una cadena de confianza valida son mucho mas altos que la pura entrega de los certificados. 
Fijate que por razones tecnicas nosotros tenemos algunas entidades emisoras de certificados, tan buenos como los mejores, sin embargo los procesos nuestros no son validados por otros actores de internet. 
En fin, pagas el cuidado que tiene Verisign de asignar y mantener los certificados en entidades legitimas. 
Espero haber sido claro. Un abrazo. 
Eduardo. 
Enviado desde mi BlackBerry de Ancel.

-----Original Message-----
From: Victor Hugo dos Santos <listas.vhs en gmail.com>
Sender: seguridad-bounces en lacnic.net
Date: Sun, 29 May 2011 14:44:50 
To: Lista para discusión de seguridad en redes y sistemas informaticos de la región<seguridad en lacnic.net>
Reply-To: Lista para discusión de seguridad en redes y s
	istemas informaticos de la región
	<seguridad en lacnic.net>
Subject: [LACNIC/Seguridad] sobre certificados de los sitios

Estimados,

hoy navegando por la red.. llegue hasta el sitio de nuestro gestor de
lista de correos (mailman)
https://mail.lacnic.net/mailman/listinfo/seguridad

que tiene un certificado SSL "no-valido" (uno por estar auto-firmado y
otro por haber vencido en el 2010)...
creo que seria bueno actualizarlo o su vez deshabilitarlo, ya que es
un poquitito raro que en una lista donde se discuta sobre temas de
seguridad, aparezca un alerta indicando que el sitio web no es seguro
!!!!

Y ya que estamos en esto.. que opinan ustedes sobre los certificados
de StartSSL y Comodo que son muy baratos (~ US$10) y en algunos casos
hasta gratuitos (http://www.startssl.com/?app=1) por uno ano y que son
"reconocidos" por la mayoría de los navegadores ???

yo uso harto los certificados de StartSSL (ninguno sitio de
transacciones comerciales importantes), pero algunas personas piensan
que los certificados de Versing (o otras) son de mejores calidades
(pero que tienen un costo muy superior entre US$1000 y US$2000) !!!

Opinión personal ???
Existen diferencias entre algunos tipos de certificados (algunos
vienen con los campos extendidos por ejemplo), pero, si vamos a
compara 2 certificados firmados por distintas empresas (versing y
startssl, por ejemplo) que sean "técnicamente" iguales (tipo de
cifrado, campos disponibles, informacion extendida, etc, etc)...
entonces, da exactamente el mismo quien esta firmando ya que
estructuralmente los certificados son idénticos !!!

opiniones de ustedes ???

salu2

-- 
--
Victor Hugo dos Santos
Linux Counter #224399
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad

Más información sobre la lista de distribución Seguridad