<html><body><div style="color:#000; background-color:#fff; font-family:garamond, new york, times, serif;font-size:12pt"><div><span>estimados</span></div><div><span>     me sumo al hilo de esta conversacion con el siguiente comentario:</span></div><div><span>     hay un nueva version de los ya famosos certificados digitales ...</span></div><div><span>     en los navegadores nuevos identifica a la entidad certificante con una leyenda en color verde <br></span></div><div><span>     es el caso de los entregados por la empresa GeoTrust ... y se llaman True Business ID</span></div><div><span>     ellos ya discontinuaron los viejos Quick SSL Premium ...</span></div><div><span>     peeeeroooo <br></span></div><div><span>     aun asi estos certificados no dicen nada mas que el servidor fue registrado por alguien (el
 responsable tecnico por lo general que a veces ni siquiera es la entidad comercial que lo explota !).</span></div><div><span>     entonces salen una mas nueva serie de certificados con tecnologia EV</span></div><div><span>     estos tienden a tratar de asegurar la identidad de la entidad comercial que explota al servidor.</span></div><div><span>     asi de este modo en la informacion del certificado figura entonces la razon social de la entidad comercial que esta detras y ademas la CA que lo otorgo garantiza la existencia de la misma no permitiendo que el certificado tenga una vida util mayor a los 2 años.</span></div><div><span>      EV es de Entity Verified ...</span></div><div><span>      el costo ? u$s 200 un certificado True Business ID mas u$s 100 por agregar la tecnologia EV ...</span></div><div><span>      se
 puede usar n veces en el mismo servidor y no tiene limite de uso por servidor siempre que pertenzcan al mismo dominio.</span></div><div><span>      una mas ... soporta hasta 2 dominios si es usado con exchange 2007 o 2010 (variante UC/SAN).</span></div><div><br></div><div><span>     FUENTE</span></div><div><span>     http://www.geotrust.com/ssl/extended-validation-ssl/</span></div><div><span></span><br><span></span></div><div><span>Atte</span></div><div><br><span></span></div><div><span>AP</span></div><div><span><br></span></div><div><span><br></span></div><div> </div><div><br><br><br><br></div><div style="font-family: garamond, new york, times, serif; font-size: 12pt;"><div style="font-family: times new roman, new york, times, serif; font-size: 12pt;"><font face="Arial" size="2"><hr size="1"><b><span style="font-weight:bold;">De:</span></b> Carlos Martinez-Cagnazzo
 <carlosm3011@gmail.com><br><b><span style="font-weight: bold;">Para:</span></b> eduardo.carozo@csirt-antel.com.uy; Lista para discusión de seguridad en redes y sistemas informaticos de la región <seguridad@lacnic.net><br><b><span style="font-weight: bold;">Enviado:</span></b> lunes, 30 de mayo de 2011 11:11
<br><b><span style="font-weight: bold;">Asunto:</span></b> Re: [LACNIC/Seguridad] sobre certificados de los sitios<br></font><br>Hola!<br><br>Efectivamente habia un problema con un certificado vencido que ya<br>quedó solucionado.<br><br>Mas allá de eso, yo soy bastante critico con los certificados de $10,<br>el valor que agregan, a mi juicio, es marginal. Solo que no salga una<br>ventana de warning, ya que hay nula verificación de identidad o de<br>nada por parte del proveedor.<br><br>Y por otro lado, cobrar $1000 dolares x año por hacer un par de<br>llamadas telefonicas y verificar algun documento escaneado, también<br>parece un exceso. Por todo esto es que la industria de los<br>certificados esta en el estado en que está.<br><br>En el caso de estos sitios estamos usando certificados generados por<br>la business PKI de LACNIC. Si a alguien le interesa le puedo mandar el<br>root certificate firmado con mi clave
 PGP.<br><br>s2<br><br>Carlos<br><br>2011/5/29 Ing. Eduardo Carozo <<a ymailto="mailto:eduardo.carozo@csirt-antel.com.uy" href="mailto:eduardo.carozo@csirt-antel.com.uy">eduardo.carozo@csirt-antel.com.uy</a>>:<br>> Entiendo que lo importante no es tanto las propiedades tecnicas del certificado sino sobre todo la seriedad de la cadena de confianza para obtenerlos.<br>> Los costos de mantener una cadena de confianza valida son mucho mas altos que la pura entrega de los certificados.<br>> Fijate que por razones tecnicas nosotros tenemos algunas entidades emisoras de certificados, tan buenos como los mejores, sin embargo los procesos nuestros no son validados por otros actores de internet.<br>> En fin, pagas el cuidado que tiene Verisign de asignar y mantener los certificados en entidades legitimas.<br>> Espero haber sido claro. Un abrazo.<br>> Eduardo.<br>> Enviado desde mi BlackBerry de Ancel.<br>><br>> -----Original
 Message-----<br>> From: Victor Hugo dos Santos <<a ymailto="mailto:listas.vhs@gmail.com" href="mailto:listas.vhs@gmail.com">listas.vhs@gmail.com</a>><br>> Sender: <a ymailto="mailto:seguridad-bounces@lacnic.net" href="mailto:seguridad-bounces@lacnic.net">seguridad-bounces@lacnic.net</a><br>> Date: Sun, 29 May 2011 14:44:50<br>> To: Lista para discusión de seguridad en redes y sistemas informaticos de la región<<a ymailto="mailto:seguridad@lacnic.net" href="mailto:seguridad@lacnic.net">seguridad@lacnic.net</a>><br>> Reply-To: Lista para discusión de seguridad en redes y s<br>>        istemas informaticos de la región<br>>        <<a ymailto="mailto:seguridad@lacnic.net" href="mailto:seguridad@lacnic.net">seguridad@lacnic.net</a>><br>> Subject: [LACNIC/Seguridad] sobre certificados de los sitios<br>><br>> Estimados,<br>><br>> hoy navegando por la red..
 llegue hasta el sitio de nuestro gestor de<br>> lista de correos (mailman)<br>> <a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>><br>> que tiene un certificado SSL "no-valido" (uno por estar auto-firmado y<br>> otro por haber vencido en el 2010)...<br>> creo que seria bueno actualizarlo o su vez deshabilitarlo, ya que es<br>> un poquitito raro que en una lista donde se discuta sobre temas de<br>> seguridad, aparezca un alerta indicando que el sitio web no es seguro<br>> !!!!<br>><br>> Y ya que estamos en esto.. que opinan ustedes sobre los certificados<br>> de StartSSL y Comodo que son muy baratos (~ US$10) y en algunos casos<br>> hasta gratuitos (<a href="http://www.startssl.com/?app=1" target="_blank">http://www.startssl.com/?app=1</a>) por uno ano y que son<br>> "reconocidos" por la mayoría de los navegadores
 ???<br>><br>> yo uso harto los certificados de StartSSL (ninguno sitio de<br>> transacciones comerciales importantes), pero algunas personas piensan<br>> que los certificados de Versing (o otras) son de mejores calidades<br>> (pero que tienen un costo muy superior entre US$1000 y US$2000) !!!<br>><br>> Opinión personal ???<br>> Existen diferencias entre algunos tipos de certificados (algunos<br>> vienen con los campos extendidos por ejemplo), pero, si vamos a<br>> compara 2 certificados firmados por distintas empresas (versing y<br>> startssl, por ejemplo) que sean "técnicamente" iguales (tipo de<br>> cifrado, campos disponibles, informacion extendida, etc, etc)...<br>> entonces, da exactamente el mismo quien esta firmando ya que<br>> estructuralmente los certificados son idénticos !!!<br>><br>> opiniones de ustedes ???<br>><br>> salu2<br>><br>> --<br>> --<br>> Victor Hugo dos
 Santos<br>> Linux Counter #224399<br>> _______________________________________________<br>> Seguridad mailing list<br>> <a ymailto="mailto:Seguridad@lacnic.net" href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>> <a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>> _______________________________________________<br>> Seguridad mailing list<br>> <a ymailto="mailto:Seguridad@lacnic.net" href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>> <a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>><br><br><br><br>-- <br>--<br>=========================<br>Carlos M. Martinez-Cagnazzo<br><a href="http://www.labs.lacnic.net"
 target="_blank">http://www.labs.lacnic.net</a><br>=========================<br>_______________________________________________<br>Seguridad mailing list<br><a ymailto="mailto:Seguridad@lacnic.net" href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br><br><br></div></div></div></body></html>