[LACNIC/Seguridad] sobre certificados de los sitios

[Carlos Martinez-Cagnazzo]

Hola!

Efectivamente habia un problema con un certificado vencido que ya
quedó solucionado.

Mas allá de eso, yo soy bastante critico con los certificados de $10,
el valor que agregan, a mi juicio, es marginal. Solo que no salga una
ventana de warning, ya que hay nula verificación de identidad o de
nada por parte del proveedor.

Y por otro lado, cobrar $1000 dolares x año por hacer un par de
llamadas telefonicas y verificar algun documento escaneado, también
parece un exceso. Por todo esto es que la industria de los
certificados esta en el estado en que está.

En el caso de estos sitios estamos usando certificados generados por
la business PKI de LACNIC. Si a alguien le interesa le puedo mandar el
root certificate firmado con mi clave PGP.

s2

Carlos

2011/5/29 Ing. Eduardo Carozo <eduardo.carozo en csirt-antel.com.uy>:
> Entiendo que lo importante no es tanto las propiedades tecnicas del certificado sino sobre todo la seriedad de la cadena de confianza para obtenerlos.
> Los costos de mantener una cadena de confianza valida son mucho mas altos que la pura entrega de los certificados.
> Fijate que por razones tecnicas nosotros tenemos algunas entidades emisoras de certificados, tan buenos como los mejores, sin embargo los procesos nuestros no son validados por otros actores de internet.
> En fin, pagas el cuidado que tiene Verisign de asignar y mantener los certificados en entidades legitimas.
> Espero haber sido claro. Un abrazo.
> Eduardo.
> Enviado desde mi BlackBerry de Ancel.
>
> -----Original Message-----
> From: Victor Hugo dos Santos <listas.vhs en gmail.com>
> Sender: seguridad-bounces en lacnic.net
> Date: Sun, 29 May 2011 14:44:50
> To: Lista para discusión de seguridad en redes y sistemas informaticos de la región<seguridad en lacnic.net>
> Reply-To: Lista para discusión de seguridad en redes y s
>        istemas informaticos de la región
>        <seguridad en lacnic.net>
> Subject: [LACNIC/Seguridad] sobre certificados de los sitios
>
> Estimados,
>
> hoy navegando por la red.. llegue hasta el sitio de nuestro gestor de
> lista de correos (mailman)
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
> que tiene un certificado SSL "no-valido" (uno por estar auto-firmado y
> otro por haber vencido en el 2010)...
> creo que seria bueno actualizarlo o su vez deshabilitarlo, ya que es
> un poquitito raro que en una lista donde se discuta sobre temas de
> seguridad, aparezca un alerta indicando que el sitio web no es seguro
> !!!!
>
> Y ya que estamos en esto.. que opinan ustedes sobre los certificados
> de StartSSL y Comodo que son muy baratos (~ US$10) y en algunos casos
> hasta gratuitos (http://www.startssl.com/?app=1) por uno ano y que son
> "reconocidos" por la mayoría de los navegadores ???
>
> yo uso harto los certificados de StartSSL (ninguno sitio de
> transacciones comerciales importantes), pero algunas personas piensan
> que los certificados de Versing (o otras) son de mejores calidades
> (pero que tienen un costo muy superior entre US$1000 y US$2000) !!!
>
> Opinión personal ???
> Existen diferencias entre algunos tipos de certificados (algunos
> vienen con los campos extendidos por ejemplo), pero, si vamos a
> compara 2 certificados firmados por distintas empresas (versing y
> startssl, por ejemplo) que sean "técnicamente" iguales (tipo de
> cifrado, campos disponibles, informacion extendida, etc, etc)...
> entonces, da exactamente el mismo quien esta firmando ya que
> estructuralmente los certificados son idénticos !!!
>
> opiniones de ustedes ???
>
> salu2
>
> --
> --
> Victor Hugo dos Santos
> Linux Counter #224399
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>



-- 
--
=========================
Carlos M. Martinez-Cagnazzo
http://www.labs.lacnic.net
=========================