Menéame: comentarios [4050757]

#57 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

--838553-- — Mon, 21 Apr 2025 21:22:40 +0000

#35 Comprobar unos CNAME DNS RECORDS y luego poner tu firma se hace en menos de un segundo. En serio esto es un argumento?
Saber a quien poner la firma y a quien no creo que requiere más tiempo.
A lo mejor es que no entiendes el proceso o el objetivo que pretenden los certificados.

Entiendo. No sabes de criptomonedas ni lo que es el minado entonces.
No. No entiendes nada. Te imaginas cosas.
Es desagradable tener que tratar con personas con esa actitud, como comprenderás.
En mal momento decidí comentar sobre tu mensaje para aportar algo positivo.

» autor: --838553--

#56 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

topecb — Mon, 21 Apr 2025 19:53:52 +0000

#55 Nosotros también tenemos muchas cosas sin salida a internet, usamos un dominio real (registrado pero en las DNS apuntamos a las IPs locales) y tenemos un wildcard que le cargamos a las máquinas concretas.
También tenemos un autofirmado (y el CA instalado para evitar los errores) pero solo para PCs, los móviles no los tocamos

» autor: topecb

#55 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

nemeame — Mon, 21 Apr 2025 17:01:00 +0000

#21 Porque están en la red interna sin conexión a internet. Y tienes el mismo problema por ejemplo con impresoras de red o teléfonos IP. En entornos empresariales es muy habitual

» autor: nemeame

#54 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 16:08:38 +0000

#52 Como "verifica el domino" y en que ayuda meter el fingerprint en el blockchain exactamente??

Que aporta sobre un certificado correctamente firmado?

» autor: chavi

#53 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 16:05:51 +0000

#48 No. Esa solucion no sirve para firmas de claves públicas.
En todo caso lo que estas planteando es un metodo alternativo para comprobar la.legitimidad del solicitante del certificado, nada más

» autor: chavi

#52 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 16:05:05 +0000

#50 el "minado" de esta crytomoneda/blockchain seria verificar un dominio y meter el fingerprint de la clave publica en la blockchain.

» autor: tierra_del_hielo

#51 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 16:04:26 +0000

#49 No. No funciona asi. Puedes ponerte en medio solo si el sitio usa tu certificado y tu clave privada.

No basta con obtener un certificado falso, tienes que colocar la clave privada y el certificado en el sitio web.

» autor: chavi

#50 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 16:03:14 +0000

#43 Ese razonamiento no es válido, porque son cosas completamente diferentes.

El certificado no "verifica el dominio". Esa verificación se hace como condición previa para obtener el certificado, que básicamente es una clave pública firmada digitalmente que se usará para asegurar la comunicación

» autor: chavi

#49 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 16:02:22 +0000

#47 no, me basta con ponerme en medio de la red.

» autor: tierra_del_hielo

#48 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 16:01:29 +0000

#45 ese desafio ya fue resuelto por las criptomonedas.

Hay dos filosofias para resolver ese problema:

- Proof of work.
- Proof of stake.

» autor: tierra_del_hielo

#47 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 16:00:19 +0000

#31 No rompes el HTTPS por eso, solo facilita el phising

» autor: chavi

#46 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 15:58:10 +0000

#30 ese desafio se resuelve con DNS challenges que es lo que se hace normalmente. Eso es lo de menos.
Eso que "es lo de menos" es justo lo que ha fallado

» autor: chavi

#45 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 15:56:55 +0000

#35 Como evitas que yo junto con unos miles de colegas y unos millones de bots me ponga a validar certificados falsos ?

» autor: chavi

#44 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 15:53:34 +0000

#28 Los propios usuarios finales podrian validar estos certificados y firmarlos.
Para qué serviria eso???
Sabes para que sirve la firma de la clave pública (certificado)??

Eso no serviria para nada.

Si te vas a las cadenas de confianza tienes PGP mas antiguo que la lecne, si no se uso en la web fué por algo

» autor: chavi

#43 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 15:52:39 +0000

#42 si hay un procedimiento para realizar pagos de forma descentralizada. Puedes tener un procedimiento similar para verificar dominios de forma descentralizada. La similitud de sistemas es muy similar.

» autor: tierra_del_hielo

#42 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 15:50:51 +0000

#25 El bitcoin sirve para demostrar que mi clave publica es mia ?

Cual es el procedimiento para eso ?

» autor: chavi

#41 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 15:34:21 +0000

#40 No hay una "entidad centralizada". Es una estructura jerárquica.

Llamalo "punto unico de fallo" si prefieres.

Y aun a nadie se le ha ocurrido un sistema mejor.

Lo cual no quiere decir que no exista un sistema mejor. Ese es precisamente mi punto.

» autor: tierra_del_hielo

#40 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 15:29:27 +0000

#19 No hay una "entidad centralizada". Es una estructura jerárquica.

No falla por "hackeo", no es el caso. Falla porque no han hecho las verificaciones pertinentes, dejándoselas a un sistema programado mal hecho.

Y aun a nadie se le ha ocurrido un sistema mejor.

» autor: chavi

#39 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

barni — Mon, 21 Apr 2025 13:16:03 +0000

#30 los certificados EV no se hacen con solo con DNS challenges -y para llegar al servidor de dominio necesitas de los servidores de raiz, que también son “centralizados”-, y las entidades de certificación tienen requisitos de validación tanto fisica como legal de los solicitantes de una firma de un certificado. En definitiva, la información sobre el dueño de un dominio en algún momento tiene que entrar a la blockchain. Esto implica que el registro de dominios también debería estar mediado por la misma blockchain.

Y después tienes el inconveniente no trivial de distribuir el chain -y mantenerlo actualizado- a cada sistema que necesite verificar un certificado. La logística de tal volumen de datos es compleja. Y por último cada sistema tendría que ser capaz de validar certificados contra ese blockchain que puede representar varios Gb de datos.

Lo siento, pero la visión de que todo debe ser descentralizado es un poco 2018… ni todo DEBE ser descentralizado, ni blockchain soluciona mágicamente todos los problemas donde se busca descentralización.

» autor: barni

#38 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 13:04:22 +0000

#36 bueno, pero el primer paso es reconocer que hay un problema. Hay algún usuario que ni siquiera me ha reconocido eso

» autor: tierra_del_hielo

#37 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

topecb — Mon, 21 Apr 2025 12:56:38 +0000

#22 Ah claro, un dominio local es un dominio que no existe y a la vez puede existir en miles de redes, por eso no te lo pueden generar.

Yo tengo un dominio "normal" y uso IPs internas, eso si se puede hacer

» autor: topecb

#36 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

anv — Mon, 21 Apr 2025 12:48:59 +0000

#17 a nivel digital no se me ocurre nada de momento.

Ese es el problema, que ni a ti ni a nadie parece ocurrírsele una solución.

La blockchain es una buena forma de publicar cosas y que quede registro... pero no creo que sea factible para publicar una clave pública sin que nadie se haga pasar por ti.

» autor: anv

#35 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 12:42:21 +0000

#33 Ánimo, solo hay millones y millones de ellos en activo.

Eh? Comprobar unos CNAME DNS RECORDS y luego poner tu firma se hace en menos de un segundo. En serio esto es un argumento?

Que ademas no habria que traspasar todos de golpe en un dia. Solo conforme vayan expirando sus certificados actuales. Madre mia el nivel.

Ah, ya te entiendo. Unos cuantos usuarios.
Es el método que hay ahora

Estariamos hablando de MILLONES de usuarios.

Y con una barrera de entrada cero. Tu mismo podrias decidir poner tu ordenador a "validar" certificados. En serio te parece lo mismo?

No.
No creo que los haya.

Entiendo. No sabes de criptomonedas ni lo que es el minado entonces. Estoy describiendo basicamente el mismo sentido.

Y antes de que me respondas, esto es solo una idea. Hay mas y mas ideas que iran saliendo en el futuro. Nadie se podia imaginar que pudiera haber una moneda digital descentralizada y sin embargo aqui estamos.

» autor: tierra_del_hielo

#34 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

BARCEL0NÍ — Mon, 21 Apr 2025 12:33:34 +0000

#25 No conozco mucho los smartconbtracts de bitcoin, que seria creo el caso de uso donde un tercero podrí aser requerido, pero por lo que leo así rapido ya incluyen la opcion de que terceros validen el contrato, ergo el mismo problemilla que en certs SSL.

Creo que se puede ver en etherscan.io/contractsVerified?filter=audit

columna 'Audit'

» autor: BARCEL0NÍ

#33 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

--838553-- — Mon, 21 Apr 2025 12:24:23 +0000

#28 Los propios usuarios finales podrian validar estos certificados y firmarlos.
A ver como lo haces.
Ánimo, solo hay millones y millones de ellos en activo.

Esos usuarios podriamos llamarlos "validadores" y lo harian a cambio de una comision.
Ah, ya te entiendo. Unos cuantos usuarios.
Es el método que hay ahora.

Aja, has oido hablar del bitcoin y los mineros? Ves los paralelismos?
No.
No creo que los haya.
Bueno, lejanamente todo se parece a todo.

» autor: --838553--

#32 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

Ramsay_Bolton — Mon, 21 Apr 2025 12:21:51 +0000

#12 show me the code

» autor: Ramsay_Bolton

#31 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 12:13:55 +0000

#24 pero eso tambien tiene dos problemas:

- Actuan con delay. Hasta que eso sea descubierto, he podido romper el HTTPS por un buen tiempo.
- Si la entidad certificadora es lo suficientemente grande, te vas a cargar bastante trozos de internet a corto plazo (imaginate si tu banco usa esa entidad... uh).

» autor: tierra_del_hielo

#30 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 12:10:47 +0000

#27 no, ese desafio se resuelve con DNS challenges que es lo que se hace normalmente. Eso es lo de menos.

Entiendo que la idea vendria de que un usuario recibiria la peticion, validaria el dominio y si esta todo guay lo meteria en la blockchain firmado. Los usuarios harian estas validaciones a cambio de una comision.

Lo estoy simplificando mucho. Pero basicamente es la misma idea que se hace con el bitcoin/criptomonedas y el minado.

» autor: tierra_del_hielo

#29 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 12:07:27 +0000

#26 bueno es la diferencia de un monopolio o un oligopolio. No nos metamos en la semantica. El problema sigue siendo el mismo, si una entidad es atacada o corrompida, puede hacer man in the middle sin problemas.

La estructura actual permite que cada navegador y/o cada entidad elija cuáles de esas entidades (Root CAs) son confiables.

No sirve. El 99,999% de los usuarios se queda con los predeterminados del navegador.

» autor: tierra_del_hielo

#28 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 12:04:52 +0000

#23 por ejemplo. Los propios usuarios finales podrian validar estos certificados y firmarlos. De esta forma la validacion no se haria de forma centralizada sino descentralizada por todo el mundo. Esos usuarios podriamos llamarlos "validadores" y lo harian a cambio de una comision.

"Pero eso es imposible". Aja, has oido hablar del bitcoin y los mineros? Ves los paralelismos?

No digo que esta vaya a ser la solucion. Pero como puedes ver, con el tiempo salen ideas que a nadie se le hubiera ocurrido antes. El bitcoin es de hecho unos de los mejores ejemplos en ese sentido. Nadie se podia imaginar que pudiera haber una moneda digital descentralizada.

» autor: tierra_del_hielo

#27 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

barni — Mon, 21 Apr 2025 12:04:18 +0000

#17 la Blockchain no hace nada por evitar este problema. Sigues teniendo el inconveniente/desafío de verificar que quien solicita la firma de un certificado es realmente quien dice ser y que controla (o está autorizado por) aquella entidad para la que solicita la firma.

» autor: barni

#26 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

barni — Mon, 21 Apr 2025 11:59:31 +0000

#16 es que no es una única entidad centralizada, y no se por qué crees que lo es. Son un conjunto de organizaciones a las que los navegadores y/o entidades (públicas/privadas) considera suficientemente confiables para emitir certificados de manera segura. Y esta confianza está basada en criterios de seguridad y fiabilidad establecidos por el PKI Consortium.

La estructura actual permite que cada navegador y/o cada entidad elija cuáles de esas entidades (Root CAs) son confiables.

Por ejemplo, es de esperar que un gobierno de un país elija no aceptar certificados firmados por entidades de certificación que sospechan de estar comprometidas por naciones rivales.

» autor: barni

#25 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 11:55:11 +0000

#20 hay ejemplos descentralizados. Ej: el bitcoin.

Pero si que es verdad que es mas complicado que usar a un "avalista" centralizado. Todo llegara de momento.

» autor: tierra_del_hielo

#24 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

Cidwel — Mon, 21 Apr 2025 11:38:37 +0000

#2 hay miles de auditores externos que de un plumazo revocarían las firmas. Google entre ellos

» autor: Cidwel

#23 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

--838553-- — Mon, 21 Apr 2025 11:37:09 +0000

#17 a nivel digital no se me ocurre nada de momento
Si no se te ocurre, ¿ no se te ha ocurrido pensar que a lo mejor no lo hay ?

espero que se acabe solucionando con nueva tecnología.
No, no es cuestión de tecnología. Hay muchas cosas que no se pueden solucionar con mejor tecnología. Es ciencia, no magia.

» autor: --838553--

#22 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

SrSatan — Mon, 21 Apr 2025 10:58:20 +0000

#21 Hasta donde yo sé, no puedes configurar dominios locales. Yo tengo el mismo problema: "your network may be monitored"

» autor: SrSatan

#21 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

topecb — Mon, 21 Apr 2025 10:50:55 +0000

#14 Y porqué no usar Lets Encrypt por ejemplo? No vas a tener errores de CA, es gratuito, se puede configurar renovación automática fácilmente, permite wildcard (necesita validación por DNS, yo en mi caso lo tengo automatizado con al API de Cloudflare)

» autor: topecb

#20 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

BARCEL0NÍ — Mon, 21 Apr 2025 10:26:51 +0000

#16 en este tipo de certificación, donde un tercero da fe de que quien dice ser pepito realmente es pepito, no veo como se puede ejercer dicho poder de forma descentralizada.

Siempre hará falta un tercero que certifique que eres quien dices ser. Y que tendrá los mecanismos para que certifiques que eres quien dices ser.

» autor: BARCEL0NÍ

#19 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 10:19:26 +0000

#18 tener una entidad centralizada para los certificados es un punto de fallo evidente. Si falla una entidad, te puedes hacer pasar por cualquier web del mundo.

Puede fallar por hackeo (como este caso) o por corrupcion.

» autor: tierra_del_hielo

#18 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 10:16:34 +0000

#15 No es ninguna falla en el sistema. El sistema es bueno

» autor: chavi

#17 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 10:15:10 +0000

#7 a nivel digital no se me ocurre nada de momento. Pero es una obvia falla que espero que se acabe solucionando con nueva tecnología.

Es un meme pero la block chain va hacia esa dirección.

» autor: tierra_del_hielo

#16 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 10:13:23 +0000

#6 es lo mismo, sea privada, non-Profit o gubernamental. Sigue siendo una entidad centralizada que puede ser hackeada (o peor, corrompida).

Lo idea seria no depender de nada centralizado.

» autor: tierra_del_hielo

#15 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 10:12:15 +0000

#11 #9 que no tenga una solución alternativa no quiere decir que no sea una obvia falla del sistema que habría que pensar como solucionar.

Me imagino que la solución vendrá relacionado con la blockchain.

» autor: tierra_del_hielo

#14 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

nemeame — Mon, 21 Apr 2025 10:05:36 +0000

#12 Cualquier servicio que hospedes tu mismo para uso personal, ya sea tu propio servidor web o tu propia nube, centro multimedia, etc

» autor: nemeame

#13 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

barni — Mon, 21 Apr 2025 09:53:38 +0000

#8 la triste realidad es que a la mayoría de los usuarios vulnerables a estafas se la sudan las alertas, porque ni siquiera saben lo que es un CA.

Y para instalar CAs puedes usar una solución MDM (las hay open source, como FleetDM).

» autor: barni

#12 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

barni — Mon, 21 Apr 2025 09:47:57 +0000

#3 cuál es tu caso de uso?

» autor: barni

#11 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

barni — Mon, 21 Apr 2025 09:44:43 +0000

#2 si tienes una idea mejor y que sea técnica, operacional, política y económicamente viable, te espera un Premio Turing.

» autor: barni

#10 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

barni — Mon, 21 Apr 2025 09:39:43 +0000

#1 Primero habrá que investigar y demostrar que hay más casos de emisión de certificados con validación sospechosa. Pero dudo que le quiten la confianza al CA por esto. Como mucho se revocarán todos los certificados que hayan sido validados por correo.

Ya veremos cuánto crece la CRL de ssl.com.

» autor: barni

#9 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

chavi — Mon, 21 Apr 2025 08:52:44 +0000

#2 ??? Por qué?

Que sugieres para verificar las claves públicas ?

» autor: chavi

#8 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

anv — Mon, 21 Apr 2025 08:32:02 +0000

#3 Bueno, Android es un sistema con un 99% de usuarios completamente inexpertos.
Yo propondría por ejemplo que para desactivar las alertas tuvieras que conectar el teléfono a un PC y usar algún comando desde ahí. Algo que no pudiera hacer un usuario fácilmente siguiendo las instrucciones de un estafador.

» autor: anv

#7 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

anv — Mon, 21 Apr 2025 08:29:49 +0000

#2 Es que pasa como en la vida real: cuando ves una firma ¿cómo sabes que no es falsa? Lo sabes si hay un notario que la certifica. Tienes que confiar en que él se hace responsable de decir que él esa persona firmó frente a él.

Si no, ¿qué otro método se te ocurre?

» autor: anv

#6 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

BARCEL0NÍ — Mon, 21 Apr 2025 08:28:34 +0000

#2 hmm pero el problema no ha sido causado precisamente por una empresa privada que hacía mal el chequeo de la propiedad del dominio? si hubiera habido una entidad (non profit) centralizada que hicisese un chequeo último lo hubiese detectado, no crees?

» autor: BARCEL0NÍ

#5 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

anv — Mon, 21 Apr 2025 08:26:40 +0000

#1 Diría yo que ya los metieron en la lista de revocación... pero quién sabe.

» autor: anv

#4 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

ojovirtual — Mon, 21 Apr 2025 08:24:45 +0000

#1 Esta mañana están dando errores certificados de Globalsign que aparentemente son válidos (por ejemplo, Edge se los traga). Desconozco si está relacionado pero a mi me está jodiendo el café.

» autor: ojovirtual

#3 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

nemeame — Mon, 21 Apr 2025 08:18:28 +0000

Eso si, instala tu propio certificado de CA en Android y verás que diversión con las alertas de seguridad constantes y no desactivables

» autor: nemeame

#2 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

tierra_del_hielo — Mon, 21 Apr 2025 08:15:18 +0000

Este es uno de los mayores fallos de la arquitectura de Internet. Que haya entidades centralizadas para los certificados SSL

» autor: tierra_del_hielo

#1 Grave fallo de validación en SSL.com permitió la emisión de certificados no autorizados

Pablosky — Mon, 21 Apr 2025 08:13:12 +0000

Qué ilusión, dentro de 3 meses o así habrá que renovar miles de certificados cuando Chrome deje de aceptar la CA vulnerable.

» autor: Pablosky