[LACNIC/Seguridad] sobre certificados de los sitios

Lun Mayo 30 19:30:53 BRT 2011

estimados
     me sumo al hilo de esta conversacion con el siguiente comentario:
     hay un nueva version de los ya famosos certificados digitales ...
     en los navegadores nuevos identifica a la entidad certificante con una leyenda en color verde 

     es el caso de los entregados por la empresa GeoTrust ... y se llaman True Business ID
     ellos ya discontinuaron los viejos Quick SSL Premium ...
     peeeeroooo 

     aun asi estos certificados no dicen nada mas que el servidor fue registrado por alguien (el responsable tecnico por lo general que a veces ni siquiera es la entidad comercial que lo explota !).
     entonces salen una mas nueva serie de certificados con tecnologia EV
     estos tienden a tratar de asegurar la identidad de la entidad comercial que explota al servidor.
     asi de este modo en la informacion del certificado figura entonces la razon social de la entidad comercial que esta detras y ademas la CA que lo otorgo garantiza la existencia de la misma no permitiendo que el certificado tenga una vida util mayor a los 2 años.
      EV es de Entity Verified ...
      el costo ? u$s 200 un certificado True Business ID mas u$s 100 por agregar la tecnologia EV ...
      se puede usar n veces en el mismo servidor y no tiene limite de uso por servidor siempre que pertenzcan al mismo dominio.
      una mas ... soporta hasta 2 dominios si es usado con exchange 2007 o 2010 (variante UC/SAN).

     FUENTE
     http://www.geotrust.com/ssl/extended-validation-ssl/

Atte

AP

________________________________
De: Carlos Martinez-Cagnazzo <carlosm3011 en gmail.com>
Para: eduardo.carozo en csirt-antel.com.uy; Lista para discusión de seguridad en redes y sistemas informaticos de la región <seguridad en lacnic.net>
Enviado: lunes, 30 de mayo de 2011 11:11 
Asunto: Re: [LACNIC/Seguridad] sobre certificados de los sitios

Hola!

Efectivamente habia un problema con un certificado vencido que ya
quedó solucionado.

Mas allá de eso, yo soy bastante critico con los certificados de $10,
el valor que agregan, a mi juicio, es marginal. Solo que no salga una
ventana de warning, ya que hay nula verificación de identidad o de
nada por parte del proveedor.

Y por otro lado, cobrar $1000 dolares x año por hacer un par de
llamadas telefonicas y verificar algun documento escaneado, también
parece un exceso. Por todo esto es que la industria de los
certificados esta en el estado en que está.

En el caso de estos sitios estamos usando certificados generados por
la business PKI de LACNIC. Si a alguien le interesa le puedo mandar el
root certificate firmado con mi clave PGP.

s2

Carlos

2011/5/29 Ing. Eduardo Carozo <eduardo.carozo en csirt-antel.com.uy>:
> Entiendo que lo importante no es tanto las propiedades tecnicas del certificado sino sobre todo la seriedad de la cadena de confianza para obtenerlos.
> Los costos de mantener una cadena de confianza valida son mucho mas altos que la pura entrega de los certificados.
> Fijate que por razones tecnicas nosotros tenemos algunas entidades emisoras de certificados, tan buenos como los mejores, sin embargo los procesos nuestros no son validados por otros actores de internet.
> En fin, pagas el cuidado que tiene Verisign de asignar y mantener los certificados en entidades legitimas.
> Espero haber sido claro. Un abrazo.
> Eduardo.
> Enviado desde mi BlackBerry de Ancel.
>
> -----Original Message-----
> From: Victor Hugo dos Santos <listas.vhs en gmail.com>
> Sender: seguridad-bounces en lacnic.net
> Date: Sun, 29 May 2011 14:44:50
> To: Lista para discusiÃ³n de seguridad en redes y sistemas informaticos de la regiÃ³n<seguridad en lacnic.net>
> Reply-To: Lista para discusión de seguridad en redes y s
>        istemas informaticos de la región
>        <seguridad en lacnic.net>
> Subject: [LACNIC/Seguridad] sobre certificados de los sitios
>
> Estimados,
>
> hoy navegando por la red.. llegue hasta el sitio de nuestro gestor de
> lista de correos (mailman)
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
> que tiene un certificado SSL "no-valido" (uno por estar auto-firmado y
> otro por haber vencido en el 2010)...
> creo que seria bueno actualizarlo o su vez deshabilitarlo, ya que es
> un poquitito raro que en una lista donde se discuta sobre temas de
> seguridad, aparezca un alerta indicando que el sitio web no es seguro
> !!!!
>
> Y ya que estamos en esto.. que opinan ustedes sobre los certificados
> de StartSSL y Comodo que son muy baratos (~ US$10) y en algunos casos
> hasta gratuitos (http://www.startssl.com/?app=1) por uno ano y que son
> "reconocidos" por la mayoría de los navegadores ???
>
> yo uso harto los certificados de StartSSL (ninguno sitio de
> transacciones comerciales importantes), pero algunas personas piensan
> que los certificados de Versing (o otras) son de mejores calidades
> (pero que tienen un costo muy superior entre US$1000 y US$2000) !!!
>
> Opinión personal ???
> Existen diferencias entre algunos tipos de certificados (algunos
> vienen con los campos extendidos por ejemplo), pero, si vamos a
> compara 2 certificados firmados por distintas empresas (versing y
> startssl, por ejemplo) que sean "técnicamente" iguales (tipo de
> cifrado, campos disponibles, informacion extendida, etc, etc)...
> entonces, da exactamente el mismo quien esta firmando ya que
> estructuralmente los certificados son idénticos !!!
>
> opiniones de ustedes ???
>
> salu2
>
> --
> --
> Victor Hugo dos Santos
> Linux Counter #224399
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>

-- 
--
=========================
Carlos M. Martinez-Cagnazzo
http://www.labs.lacnic.net
=========================
_______________________________________________
Seguridad mailing list
Seguridad en lacnic.net
https://mail.lacnic.net/mailman/listinfo/seguridad
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20110530/9fe92dfc/attachment.html>