[LACNIC/Seguridad] sobre certificados de los sitios

Lun Mayo 30 11:29:41 BRT 2011

Esto se resuelve con los acuerdos por nivel de servicio.. Que seguridad quieres.. Que seguridad pagas.. Que seguridad tienes..

Como dicen los gringos you get what you pay for!

Carlos Vera
-----Original Message-----
From: Victor Hugo dos Santos <listas.vhs en gmail.com>
Sender: seguridad-bounces en lacnic.net
Date: Mon, 30 May 2011 11:01:46 
To: <carlos en lacnic.net>; Lista para discusiÃ³n de seguridad en redes y sistemas informaticos de la regiÃ³n<seguridad en lacnic.net>
Reply-To: Lista para discusión de seguridad en redes y s
	istemas informaticos de la región
	<seguridad en lacnic.net>
Subject: Re: [LACNIC/Seguridad] sobre certificados de los sitios

2011/5/30 Carlos Martinez-Cagnazzo <carlosm3011 en gmail.com>:
> Hola!

Hola Carlos,

> Efectivamente habia un problema con un certificado vencido que ya
> quedó solucionado.
>
> Mas allá de eso, yo soy bastante critico con los certificados de $10,
> el valor que agregan, a mi juicio, es marginal. Solo que no salga una
> ventana de warning, ya que hay nula verificación de identidad o de
> nada por parte del proveedor.
>
> Y por otro lado, cobrar $1000 dolares x año por hacer un par de
> llamadas telefonicas y verificar algun documento escaneado, también
> parece un exceso. Por todo esto es que la industria de los
> certificados esta en el estado en que está.

mmm.. el tema es que infelizmente los navegadores (al menos por
defecto) no diferencian entre uno certificado firmado por la empresa X
y otro firmado por la empresa Z !!!!

y a los usuarios, le da el mismo (con suerte miran que aparezca "el
candadito" de sitio seguro) !!! Seria bueno que los navegadores
mostraran mas informacion sobre los certificados (cifrado, tamano de
la clave, entidad que firmo, etc), de manera mas visible... pero ahora
aparenta que cuanto menos informacion en la pantalla mejor !! :-(

Y con los demas sistemas (mensajeria, correos y otros) pasa
exactamente el mismo !!! :-(

Para estes casos.. "tal vez" seria bueno que exisitira niveles de certificados:
     * nivel 1 - revision basica
     * nivel 2 - revision basica + solicitud de documentos firmados por notario
     * nivel 3 - revision basica + examen de orina y ADN del CEO

y que nosotros pudieramos especificar que no se acepte certificados
inferiores al nivel 2 por ejemplo.

Por ultimo, recuerdo que hace alguno tiempo, habia revisado el
certificado de mi banco.. pero si hubo cambios en los ultimos 2 anos,
la verdad es que no me enteraría !!! :-(

Tal vez, exista alguno pluguin que avise cuando se cambia uno
certificado de un sitio previamente visitado en la red.

salu2

-- 
--
Victor Hugo dos Santos
Linux Counter #224399
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad