<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
{font-family:Garamond;
panose-1:2 2 4 4 3 3 1 1 8 3;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Balloon Text Char";
margin:0in;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";}
span.EmailStyle17
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
span.BalloonTextChar
{mso-style-name:"Balloon Text Char";
mso-style-priority:99;
mso-style-link:"Balloon Text";
font-family:"Tahoma","sans-serif";}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=ES-MX link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Hola<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Sin afán de crítica, solo como curiosidad, donde obtuviste el significado de EV=Entity Verified? La liga que proporcionas y la pagina a la que lleva dice EV=Extended Validation<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Saludos<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> seguridad-bounces@lacnic.net [mailto:seguridad-bounces@lacnic.net] <b>On Behalf Of </b>Alberto Paz<br><b>Sent:</b> Monday, May 30, 2011 5:31 PM<br><b>To:</b> carlos@lacnic.net; Lista para discusión de seguridad en redes y sistemas informaticos de la región<br><b>Subject:</b> Re: [LACNIC/Seguridad] sobre certificados de los sitios<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'>estimados<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> me sumo al hilo de esta conversacion con el siguiente comentario:<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> hay un nueva version de los ya famosos certificados digitales ...<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> en los navegadores nuevos identifica a la entidad certificante con una leyenda en color verde <o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> es el caso de los entregados por la empresa GeoTrust ... y se llaman True Business ID<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> ellos ya discontinuaron los viejos Quick SSL Premium ...<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> peeeeroooo <o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> aun asi estos certificados no dicen nada mas que el servidor fue registrado por alguien (el responsable tecnico por lo general que a veces ni siquiera es la entidad comercial que lo explota !).<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> entonces salen una mas nueva serie de certificados con tecnologia EV<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> estos tienden a tratar de asegurar la identidad de la entidad comercial que explota al servidor.<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> asi de este modo en la informacion del certificado figura entonces la razon social de la entidad comercial que esta detras y ademas la CA que lo otorgo garantiza la existencia de la misma no permitiendo que el certificado tenga una vida util mayor a los 2 años.<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> EV es de Entity Verified ...<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> el costo ? u$s 200 un certificado True Business ID mas u$s 100 por agregar la tecnologia EV ...<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> se puede usar n veces en el mismo servidor y no tiene limite de uso por servidor siempre que pertenzcan al mismo dominio.<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> una mas ... soporta hasta 2 dominios si es usado con exchange 2007 o 2010 (variante UC/SAN).<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> FUENTE<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> <a href="http://www.geotrust.com/ssl/extended-validation-ssl/">http://www.geotrust.com/ssl/extended-validation-ssl/</a><o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'>Atte<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'>AP<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='background:white'><span style='font-family:"Garamond","serif";color:black'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt;background:white'><span style='font-family:"Garamond","serif";color:black'><br><br><br><o:p></o:p></span></p></div><div><div><div class=MsoNormal align=center style='text-align:center;background:white'><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:black'><hr size=1 width="100%" align=center></span></div><p class=MsoNormal style='margin-bottom:12.0pt;background:white'><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:black'>De:</span></b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:black'> Carlos Martinez-Cagnazzo <carlosm3011@gmail.com><br><b>Para:</b> eduardo.carozo@csirt-antel.com.uy; Lista para discusión de seguridad en redes y sistemas informaticos de la región <seguridad@lacnic.net><br><b>Enviado:</b> lunes, 30 de mayo de 2011 11:11 <br><b>Asunto:</b> Re: [LACNIC/Seguridad] sobre certificados de los sitios<br></span><span style='color:black'><br>Hola!<br><br>Efectivamente habia un problema con un certificado vencido que ya<br>quedó solucionado.<br><br>Mas allá de eso, yo soy bastante critico con los certificados de $10,<br>el valor que agregan, a mi juicio, es marginal. Solo que no salga una<br>ventana de warning, ya que hay nula verificación de identidad o de<br>nada por parte del proveedor.<br><br>Y por otro lado, cobrar $1000 dolares x año por hacer un par de<br>llamadas telefonicas y verificar algun documento escaneado, también<br>parece un exceso. Por todo esto es que la industria de los<br>certificados esta en el estado en que está.<br><br>En el caso de estos sitios estamos usando certificados generados por<br>la business PKI de LACNIC. Si a alguien le interesa le puedo mandar el<br>root certificate firmado con mi clave PGP.<br><br>s2<br><br>Carlos<br><br>2011/5/29 Ing. Eduardo Carozo <<a href="mailto:eduardo.carozo@csirt-antel.com.uy">eduardo.carozo@csirt-antel.com.uy</a>>:<br>> Entiendo que lo importante no es tanto las propiedades tecnicas del certificado sino sobre todo la seriedad de la cadena de confianza para obtenerlos.<br>> Los costos de mantener una cadena de confianza valida son mucho mas altos que la pura entrega de los certificados.<br>> Fijate que por razones tecnicas nosotros tenemos algunas entidades emisoras de certificados, tan buenos como los mejores, sin embargo los procesos nuestros no son validados por otros actores de internet.<br>> En fin, pagas el cuidado que tiene Verisign de asignar y mantener los certificados en entidades legitimas.<br>> Espero haber sido claro. Un abrazo.<br>> Eduardo.<br>> Enviado desde mi BlackBerry de Ancel.<br>><br>> -----Original Message-----<br>> From: Victor Hugo dos Santos <<a href="mailto:listas.vhs@gmail.com">listas.vhs@gmail.com</a>><br>> Sender: <a href="mailto:seguridad-bounces@lacnic.net">seguridad-bounces@lacnic.net</a><br>> Date: Sun, 29 May 2011 14:44:50<br>> To: Lista para discusión de seguridad en redes y sistemas informaticos de la región<<a href="mailto:seguridad@lacnic.net">seguridad@lacnic.net</a>><br>> Reply-To: Lista para discusión de seguridad en redes y s<br>> istemas informaticos de la región<br>> <<a href="mailto:seguridad@lacnic.net">seguridad@lacnic.net</a>><br>> Subject: [LACNIC/Seguridad] sobre certificados de los sitios<br>><br>> Estimados,<br>><br>> hoy navegando por la red.. llegue hasta el sitio de nuestro gestor de<br>> lista de correos (mailman)<br>> <a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>><br>> que tiene un certificado SSL "no-valido" (uno por estar auto-firmado y<br>> otro por haber vencido en el 2010)...<br>> creo que seria bueno actualizarlo o su vez deshabilitarlo, ya que es<br>> un poquitito raro que en una lista donde se discuta sobre temas de<br>> seguridad, aparezca un alerta indicando que el sitio web no es seguro<br>> !!!!<br>><br>> Y ya que estamos en esto.. que opinan ustedes sobre los certificados<br>> de StartSSL y Comodo que son muy baratos (~ US$10) y en algunos casos<br>> hasta gratuitos (<a href="http://www.startssl.com/?app=1" target="_blank">http://www.startssl.com/?app=1</a>) por uno ano y que son<br>> "reconocidos" por la mayoría de los navegadores ???<br>><br>> yo uso harto los certificados de StartSSL (ninguno sitio de<br>> transacciones comerciales importantes), pero algunas personas piensan<br>> que los certificados de Versing (o otras) son de mejores calidades<br>> (pero que tienen un costo muy superior entre US$1000 y US$2000) !!!<br>><br>> Opinión personal ???<br>> Existen diferencias entre algunos tipos de certificados (algunos<br>> vienen con los campos extendidos por ejemplo), pero, si vamos a<br>> compara 2 certificados firmados por distintas empresas (versing y<br>> startssl, por ejemplo) que sean "técnicamente" iguales (tipo de<br>> cifrado, campos disponibles, informacion extendida, etc, etc)...<br>> entonces, da exactamente el mismo quien esta firmando ya que<br>> estructuralmente los certificados son idénticos !!!<br>><br>> opiniones de ustedes ???<br>><br>> salu2<br>><br>> --<br>> --<br>> Victor Hugo dos Santos<br>> Linux Counter #224399<br>> _______________________________________________<br>> Seguridad mailing list<br>> <a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>> <a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>> _______________________________________________<br>> Seguridad mailing list<br>> <a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>> <a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>><br><br><br><br>-- <br>--<br>=========================<br>Carlos M. Martinez-Cagnazzo<br><a href="http://www.labs.lacnic.net" target="_blank">http://www.labs.lacnic.net</a><br>=========================<br>_______________________________________________<br>Seguridad mailing list<br><a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br><br><o:p></o:p></span></p></div></div></div></div></div></body></html>