El movimiento "encrypt the web" se ha hecho mayor. A principios de este mes, casi la mitad del tráfico de Internet estará protegido por HTTPS. "Nuestro objetivo es una web universalmente encriptada que hace que una herramienta como HTTPS Everywhere sea redundante. Hasta entonces, tenemos trabajo que hacer" (Relacionada lanzamiento-2015-autoridad-certificadora-ca-encriptar-toda-web)
![A medio camino de encriptar toda la web [eng]](https://cdn.mnmstatic.net/cache/29/ca/media_thumb_2x-link-2738714.jpeg?1487774106)
Comentarios
La culpa como siempre es debido al "mercado" y su "autoregulación". Las empresas certificadoras pusieron unos precios abusivos y sólo asumibles por grandes compañías. En muchos casos, tener un certificado válido para tu web implicaba un precio mayor que el propio hosting.
Pero hay que diferenciar entre encriptar y garantizar el origen. Encriptar el tráfico siempre se ha podido hacer de forma gratuita. Es decir, hacer que cuando el usuario envía su login/password no circule en texto plano fácilmente espiable y se vaya al https://
Otra cosa es garantizar que la página web a la que te conectas (https://meneame.net) no sea realmente (http://sitiomalomalote.net). Eso sí requiere que pases por caja porque hace falta un tercero que diga y certifique quien es quien.
Let's encrypt es una organización sin animo de lucro que ha empezado a dar certificados gratuitos y creado una forma fácil de instalarlo en servidores apache o nginx. Incluso hostings como CDMON que siguen vendiendo certificados de empresas
usureras, han tenido que ofrecer para todos sus hosting la opción de añadir certificados gratuitos de Let's encrypt para ser competitivos.Os dejo este tutorial para que con algo de idea podais instalar el certificado gratuito en vuestros sistemas.
https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-16-04
Yo lo tengo en la raspberrypi y no he notado problemas de rendimiento entre el https y el http. Necesitas un dominio propio para que se te genere el certificado.
let encrypt cambio la web, al momento de ofrecer gratuitamente su servicio pase https hasta mi web personal entre otros dominios. Además todo facil, sin papeleos ni mierdas, ejecutar, configurar y listo
Magnifica iniciativa.
Por favor: cifrar, y no "encriptar" que significa meter en una cripta...
#9 está ya aceptado
#2 los de siempre (NSA) tienen acceso directo a los servidores de Google, Microsoft, Yahoo, Skype, Apple y Facebook entre otros y les importa tres cojones que el trafico vaya cifrado o en una cripta, pueden acceder a todos los datos, e-mails, fotos y datos en la "nube" por puertas traseras desde hace mucho tiempo (PRISM, etc)
me parece muy bien que el trafico vaya cifrado pero una cosa no quita otra, se sigue violando nuestra privacidad y los EEUU como de costumbre violan los derechos humanos mas basicos. y lo peor de todo es que a pesar de ser una puta verguenza y un escandalo nuestros politicos no hacen NADA por defender nuestros intereses. el escandalo de Snowden ha tenido CERO consecuencias politicas, ni una
#30
El tema de clave asimétrica es que buscar dos número muy gordos primos entre sí y los multiplicas para hacer la clave. El factorizar este número es muy jodido porque es muy grande (varios cientos de dígitos) pero con computación cuántica es asequible. Una vez factorizado (para eso usas la computación cuántica), aplicas el algoritmo al revés y rompes la clave.
Con una clave simétrica y gorda, no puedes decodificar nada salvo que tengas algo de información de lo que hay dentro (por ejemplo, los mensajes de Enigma los rompían buscando coincidencias como la fecha del día o "al obergruppenfuhrer ...." si no sabes lo que hay ... pues puedes decodificar cualquier cosa que salga. Mientras coincida con la longitud del mensaje, puede ser cualquier cosa.
#4 Plesk 12.5 en adelante ya lo trae "de serie" y se instala en dos clicks lo que lo hace más sencillo aun de desplegar.
#46 Pero pon el hilo, mamonazo ! -> A medio camino de encriptar toda la web [eng]/c9#c-9 x'D
#39 como lo pones tu suena a conspiranoia
bienvenido a la realidad
#68 La otra razón esque Chrome te marca la web como "No segura" si intentas enviar contraseñas por http.
#48 Se financia por donaciones. En su pagina web puedes ver la lista de sponsors, que incluye a Google.
Esta organización nace de la presión que está ejerciendo Chrome y Firefox para poner https en la web. Los certificados no tienen coste pues ellos mismos son una entidad certificadora.
#13 pues qué lástima. Cifrar es más sencillo y más claro, además de más adecuado.
#4
tener un certificado válido para tu web implicaba un precio mayor que el propio hosting
200-300 pavos al año.
Y hubo una empresa muy simpática. Renovamos los certificados y cerraron al mes.
#68 Y otras cosas más interesantes a nivel de privacidad:
Chrome obligará a usar HTTPS a páginas con contraseñas
Chrome obligará a usar HTTPS a páginas con contras...
seobadajoz.es#8 yo cuando veo que las webs de la administración no llevan https me echo a llorar.
O webs de venta de billetes de bus, avión...
Y si meten internet en una cripta ¿cómo nos vamos a conectar? ¿por wifi?
#15 No, en tu caso necesitas saber automatizar más el proceso de generación del certificado con LE/CertBot
No hay que confundir la mitad del trafico web con la mitad de las paginas webs.
Muy optimista. Me gustaria ver el porcentaje de https una vez quitas Google, Facebook, Gmail y Youtube...
#7 no, let's encrypt es una asociación pues no busca el ánimo de lucro. Se financia con donaciones.
#13 No creo que se trate de que esté aceptado o no, sino de que, según la etimología, es correcta la forma "encriptar".
http://dle.rae.es/?id=FABu3oz
#48 Letsencrypt no son los primeros en dar certificados gratis, son los primeros en hacerlo muy bien haciéndolos fácil de instalar y automatizar todo el proceso. El mercado no se acaba, hay algunas empresas como por ejemplo bancos que necesitan otro tipo de certificados (EV, que cuestan una pasta) y otros que no se quieren preocupar de estar pendientes de la renovación cada 3 meses (porque no lo puedan automatizar) y paguen 10-15 € a su provedor de hosting por un certificado.
Yo me hago otra pregunta: ¿qué dejan y dejamos de perder con un internet más seguro donde todas las tiendas online, servicios públicos y demás usan TLS ? Ahora mismo si quieres poner una reclamación a través de la web de Renfe va sin cifrar por lo que si usas una conexión insegura (por ejemplo si no has cambiado la clave wifi que venía por defecto) puede haber alguien que haga mal uso de tus datos personales, y algunas compañías eléctricas peor aun, para dar de alta te piden una copia del DNI a través de un formulario HTTP sin cifrar (y con una fotocopia del DNI se pueden hacer demasiadas cosas).
#30 La computación cuántica aplicada a la criptografía simétrica permite reducir el orden de complejidad a O(√n). O dicho de otra manera, reduce la longitud efectiva de la clave a la mitad, por lo que AES-128 se convertiría en AES-64. Por fortuna la solución es tan sencilla como usar claves el doble de largas.
En el caso de la criptografía asimétrica es peor, porque la complejidad creo que pasaría a ser logarítmica, por lo que para recuperar la resistencia de los algoritmos actuales como RSA o ECC las claves tendrían que ser de millones de bits. Por fortuna hace mucho que se están investigando soluciones: https://en.wikipedia.org/wiki/Post-quantum_cryptography
#9
encriptar Conjugar el verbo encriptar
Del ingl. to encrypt; cf. gr. ἐγκρύπτειν enkrýptein 'ocultar'.
1. tr. cifrar (‖ transcribir con una clave).
El video divulgativo (1:33) se encuentra al final de la entrada
#34 Yo ya lo doy por perdido, es una lucha vacía, aun así me sigue sonando mal e intentaré no usar "encriptar" en la medida de lo posible, siempre "cifrar"
Más de la mitad podrían cifrarla o encriptarrajearla y tirar a la basura la clave pública sin problema alguno.
#57 En realidad no tantas, porque LetsEncrypt soporta OCSP stapling, que mueve la mayor parte de la carga a los servidores web: https://en.wikipedia.org/wiki/OCSP_stapling
También reduce bastante la carga el que los certificados solo tengan validez durante 90 días.
Cada vez más gente está pasando sus webs a https. ¿La razón? Que desde que Google actualizó sus criterios de SEO, tener https te permite posicionarte mejor.
#87 No, "cualquiera" no.
Primero, tiene que estar en medio de la conexión.
Segundo, tiene que hacerlo antes de que veas el certificado de la web y tu navegador pueda guardarlo para comprobar si cambia en el futuro... ah claro, que los navegadores no hacían eso; pues no es culpa de los certificados.
Tercero, debe mantenerse siempre en medio de la conexión para que nunca veas cambiar el certificado.
En SSH se ha podido hacer desde siempre, y ha demostrado ser un sistema seguro en la inmensa mayoría de los casos. Pero claro, la web es "especial", así que se ha preferido simplificar la experiencia de uso... y de paso cobrar un pastón por los certificados.
#125 ya no me acuerdo. Putos porros...
Pues si que deben estar avanzados los computadores cuánticos si los de siempre no se les han echado encima...
#4
La culpa como siempre es debido al "mercado" y su "autoregulación".
Let's encrypt es una organización sin animo de lucro
Let's encrypt sigue siendo una empresa privada con un trato especial por su objetivo social.
#6 Te creas un certificado para cada subdominio y configuras las redirecciones pertinentes a nivel de servidor web. Yo lo he hecho y no me ha salido una hernia.
#2
Si no me confundo, con las claves simétricas no pueden.
Otra cosa es que consigas mantener la clave en secreto.
Para certificados baratos acabo de descubrir
https://www.gogetssl.com/ggssl/domain-ssl/
Son certificados Comodo
$4 al año
$45 wildcard
Para 3 años salen más baratos
https://www.gogetssl.com/comodo-ssl/comodo-free-ssl/
Certificado Comodo
Gratis, válidos 90 días y renovable indefinidamente
#24 La cosa esta clara, si las empresas que mencionas se comieron un FISA y tuvieron que admitir tener puertas traseras para la NSA, el cifrado es puto postureo
Solucion, no usar sus servicios
https://prism-break.org/en/
#27 ¿A cuánto?
#0 Decía siempre un profe mío que encriptar es meter en una cripta. Se dice cifrar.
Otia #9 un compa
#52 pero siguen usando flash.
#8 Porntube tiene mas que esos
#44 Pues no. Para empresa ya están los certificados de pago de RapidSSL desde 10 euros/año
Precisamente LetEncrypt es ideal para webs sin ánimo de lucro. Pero el problema , repito, es depender de un proveedor basado en donaciones.
Si LetsEncrypt acapara el 99% del mercado y dentro de 2 años quiebra, la web dejará de ser segura y dejará de ser operativa. Es un riesgo muy grande para dejarlo en manos de una sóla entidad. StartSSL era una alternativa pero Mozilla y Google la han boicoteado para hacerle sitio a LetsEncrypt y por aquello de que a la NSA le resultará más fácil aceder a la clave privada almacenada en EEUU que en China.
#24 La NSA hace muchas cosas (Snowden dixit) pero como lo pones tu suena a conspiranoia
#90 anglicismo a fin de cuentas aunque sea válido. Lo mismo que remover por quitar
#14 Er... yo entendía que sí... pero bueno... me apunté a un curso de computación cuántica en coursera y no llegué ni a terminar los vídeos de la primera semana... así que...
Esperemos que tengas razón, porque de otra forma toda la seguridad de internet se va a ir a pastar...
#52 Instructions unclear, penis stuck in hand.
#24: De hecho yo creo que la encriptación más allá de servicios privados (el banco, el correo electrónico...) es postureo más que otra cosa.
Sí mucha web cifrada y tal y luego permite contenido mixto. Y cuidado porque no es sólo contenido mixto por el administrador (esa pifiada de una web segura usar hostings para las imágenes que son de un servidor no seguro. Si yo por ejemplo pongo ahora un enlace hacia un servidor no cifrado, una web cifrada como en el caso de Menéame, tendría un problema (es más al menos Firefox y Chrome avisarían de que esta página no es segura por usar contenido mixto).
Y por otro lado, cualquier web autocertificada, yo no me fiaría mucho de ella.
Salu2
Que mierda
Edit
El problema es que los certificados SSL no son gratuitos. El caso de Letsencrypt es singular y depender de un solo proveedor de certificados gratuitos es muy peligroso. Luego está el problema de los wildcard. Hay webs con muchos subdominios que no admiten Letsencrypt.
#32 y supongo que tambien consideras que ser purista es bueno...
#55 Los certificados no, pero hay que mantener un OCSP que reciba millones de solicitudes de comprobación diariamente.
#54 Claro, no afecta al cifrado, sólo afecta a la confianza. De hecho los malware pueden venir con todos los certificados del mundo, y no por ello ser de confianza.
#39 Si, como Rajoy con los catalanes
#84 http://dle.rae.es/?id=FABu3oz
#92 También tiene su origen en el griego. Pero yo lo que te indicaba es que según la rae encriptar NO significa meter en una cripta
#80 Me gustaria oirlo, sinceramente.
Desde mi punto de vista, el purismo en lingüística lo considero conservadurismo absurdo. Los lenguajes evolucionan, y eso no es malo. Soy un firme defensor del "lenguaje SMS" en ciertos contextos y un orgulloso leista
#110 a que te refieres con que los idiomas pierdan su unidad de manera diacrónica y diatópica?
#117 El tema es que, en mi opinión, son dos cosas no excluyentes. El hecho de que con tus colegas escribas "ey k pasa" me parece fantástico, es la economía del lenguaje en su maxima expresion, y mientras se haga de forma opcional y coloquial me parece un avance (obviamente, si solo sabes escribir así, entonces si es un problema). Desde siempre ha habido un lenguaje coloquial y uno culto, me parece genial que el coloquial se base en el culto con "añadidos", y me parece fantástico que el lenguaje culto (el que usas en un examen o en el curro) sea estandar y común a todos los hispanohablantes. Pero al igual que un andaluz dice "que pasa quillo" (lo cual es correcto y una muestra de la diversidad de nuestra lengua) pero no lo escribe en un examen, no veo problema en que un chaval escriba "k pasa tio" en whatsapp mientra no lo escriba en un examen.
Lo que no entiendo es porque todo el mundo debe hablar/escribir de forma normativa continuamente, la forma normativa hay que conocerla y usarla cuando corresponde, pero el objetivo del lenguaje es entenderse, y si el lenguaje sms, los anglicismos o el leismo no son un impedimento al entendimiento (en algunos casos, todo lo contrario), no veo porqué deben estar mal vistos.
#119 pero es que la lengua culta no está siendo inalterada, si no me equivoco. Precisamente por eso mi queja, la gente que se queja del lenguaje SMS o los extranjerismos, en mi opinion, no estádiferenciando lengua culta de coloquial.
#124 puede ser
De que hablas tu?
#126 En eso estamos de acuerdo, ves?
#128 Gramatical y sintáctica porqué?
#20 pero tiene sentido pagar 158 euros sólo por encriptar? Esa es la cuestión
#28 eso no sirve si los subdominios se generan dinamicamente. En blogspost se creaba un subdominio cada vez que se abría un blog, de modo que podías adceder así:
blogdepepito.blogspot.com
Es verdad que son solo una minoría los que necesitan algo así, pero es algo a tener en cuenta.
#37 A mí parecer, Let's Encrypt sirve perfecto para una pequeña-mediana empresa.
Si ya se vuelve algo importante, no debería ser un problema gastarse 100€/año en un certificado de comodo.
Una duda crucial. ¿Qué gana Let's encrypt con todo esto?. Algo deben de ganar y sin saberlo, no veo seguro utilizarlo. Una empresa que "regala" cosas, se lleva algo a cambio SIEMPRE, es decir, aquí nadie regala nada. Los certificados SSL tienen un coste y estos señores los "regalan". No me cuadra.
#31 Menudo cherrypicking. Te has saltado esta partes:
Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).
https://letsencrypt.org/isrg/
Y del link de la wikipedia:
More broadly, a public-benefit corporation could be any corporation that exists for a charitable purpose, though these are generally called non-profit corporations if they are not founded by a government. Some jurisdictions (the U.S. State of Maine, for instance) might define a public-benefit corporation broadly. In California, public-benefit corporations are one of several types of non-profit corporations.
#69 Letsencrypt es ISRG, o dicho de otra manera ISRG son unas cuantas organizaciones que están detrás de Letsencrypt. Tiene su propio artículo en wikipedia que lo explica y rearfima que es una organización sin ánimo de lucro (la definición que pones de la wikipedia no siempre se cumple y lo dice el mismo artículo en el párrafo que pegué).
Mozilla Corporation, Cisco Systems, Inc., Akamai Technologies, Electronic Frontier Foundation, IdenTrust, Inc., and researchers at the University of Michigan are working through the Internet Security Research Group (“ISRG”), a California public benefit corporation, to deliver this much-needed infrastructure in Q2 2015. The ISRG welcomes other organizations dedicated to the same ideal of ubiquitous, open Internet security.
https://letsencrypt.org/2014/11/18/announcing-lets-encrypt.html
#50 Pobrecitos, si trabajan de esa manera no están aprendiendo nada...
#72 Yo con lo del ánimo de lucro me parto: Las SS no tenían ánimo de lucro.
Todo será Deep Web.
#60 las direcciones IP con los certificados dan exactamente igual, los certificado son sobre los FQDNs, no las IPs.
Sacado de https://letsencrypt.org/docs/rate-limits/
The main limit is Certificates per Registered Domain (20 per week). A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar. For instance, in the name www.example.com, the registered domain is example.com. In new.blog.example.co.uk, the registered domain is example.co.uk. We use the Public Suffix List to calculate the registered domain.
If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 2,000 unique subdomains per week. A certificate with multiple names is often called a SAN certificate, or sometimes a UCC certificate.
Básicamente puedes tener 2000 nuevos subdominios por semana (en packs de 100 subdominio * 20 certficados / semana). Si tienes más de esto (nuevos cada semana, no totales agregados), creo que trabajas en un sitio bastante grande como para poder hablar por algún otro canal con LetsEncrypt y llegar a una solución.
#49 Puede ser, pero por como funciona LE, con control automático de la propiedad del (sub)dominio, los wildcards no se pueden implementar facilmente.
#96 El mercado es libre pero 350 es o precio del proveedor más caro, o de certificado EV (en el navegador se distingue porque se pone la barra de direcciones verde).
Hace muchos años que hay certificados DV (validación por dominio) como los de Letsencrypt por 15 € IVA inc. cada renovación, en empresas de confianza de dentro de la UE.
Como nadie lo comenta: Con cloudflare tienes uno gratis funcional en unos minutos
Si en un principio no se hubieran abusado con los precios de los certificados, todo el tráfico habría sido siempre cifrado.
#19 Afortunadamente puedes usar el término que más te guste, que te vamos a entender igual.
#22 Antes de este proyecto, ¿sabes cuánto salía un certificado? Y no me refiero al primero sino a las renovaciones subsiguientes.
#6 No permite wildcards pero sí permite certificados múltiples. Puedes pedir un ceritificado que incluya todos los nombres que manejas.
#15 ¿Y no puedes resolverlo con distintos paths en lugar de distintos nombres? Si no puedes modificar la aplicación puedes hacer un rewrite.
#41 te doy positivo, pero hay casos de uso en los que los wildcards podrían ser necesarios.
#25 Hoy no tendríamos Ubuntu. Recordemos que Mark Shuttleworth fundó Thawte, que vendió por una millonada a VeriSign, y con eso fundó Canonincal. Todo gracias a los precios desorbitados que la gente estaba dispuesta a pagar por los certificados.
#37 "los certificados SSL no son gratuitos"
Falso, sí que son gratuitos. Cualquiera puede ejecutar openssl y en un par de comandos crearse un certificado sin pagar nada a nadie, y con eso cifrar todo el tráfico de su web con toda la seguridad del mundo.
Lo que no es gratuito es la verificación por parte de terceros, para que salga el dibujito del candado o la barra verde en el navegador... lo cual no afecta para nada al cifrado en sí.
#45 Dado que los certificados no le cuestan nada a LetsEncrypt, es realmente muy muy muy muy difícil que quiebre
#58 Pues sí, pero en cuanto a "cifrar la web" para prevenir la intercepción y/o modificación de las comunicaciones, sirve igualmente, y se podía haber hecho desde hace mucho tiempo.
#9 He entrado solo para ver cuánto tardaban en poner eso, 9 comentarios, nos estamos oxidando.
#70 la gran ventaja de let's encrypt es la automatización del proceso. Si fueran de pago seguiría usándolos.
El resto de vendedores o te envía el certificado por e-mail en un zip o tienes que descargarlo de su web, descomprimirlo, ver si no han cambiado el nombre de los ficheros, copiarlos a su ubicación definitiva y encadenar los certificados correctos para que algunos navegadores no se quejen.
#33 Unos 350€ al año...
Algunos te lo vendían mucho más barato pero cuando lo ibas a renovar te machacaban.
#43 En lugar de https : / / pepito.midominio.com puedes usar http : / / pepito.midominio.com que redirija a https : / / midominio.com/pepito. Así todos los https son de un solo dominio y puedes seguir usando dominios múltiples si quieres. Porque la otra manera es ir directo a https : / / midominio.com/pepito.
#96 Parece una cifra ridicula para los servicios que te mencionaba #22
#98 En mi empresa por ejemplo teníamos una aplicación de uso interno. Para mayor seguridad pusimos https pero al año les pareció mucho dinero por renovar eso, así que quedó caducado y siguió así hasta que salió este proyecto.
#99 A mi tambien me parece mucho. En fin, hacia una web https. Todo se andará.
#103 En realidad estás agregando sólo una redirección de http a https, que es lo qeu suelen tener todos los sitios seguros. Si intentas acceder por http te redirigen a https. Esto haría lo mismo sólo que no sería la misma URL agregando https sino otra distinta.
#107 A ver... la gente no escribe "https" en su navegador nunca. Escriben directamente la dirección, y el navegador se conecta por http prmero.
Así que los sitios redirigen al https inmediatamente. ¿Qué sitio conoces que no haga eso?
#113 google, paypal, amazon... Usan hsts, eso quiere decir que el navegador sabe que tiene que conectarse ahi por https, de modo que rescribe las direcciones a https ANTES de enviarlas.
Tiene más detalles. ¿Alguna vez has visto un error de https? Sabrás que el navegador te deja pasar si lo añades como excepción.
Esto no pasa con HSTS, ahí el navegador se niega a adceder al sitio sino por una conexión https segura.
Te dejo el link explicativo:
https://en.m.wikipedia.org/wiki/HTTP_Strict_Transport_Security
#114 Acabo de hacer la prueba: he habilitado el debug eh Chrome y he tecleado google.com
Ha navegado a http://google.com, después ha pasado por varias redirecciones todas en http hasta llegar a https.
Con paypal sí ha ido directamente al https. Pero tampoco hay garantía de que ocurra así con todos los navegadores, así que si accedes con https te redirige.ct
A demás, si he entendido bien, para que te venga la cabecera strict transport security primero tienes que conectarte por https, lo cual tiene que venir de una redirección anterior.
#115 "A demás, si he entendido bien, para que te venga la cabecera strict transport security primero tienes que conectarte por https, lo cual tiene que venir de una redirección anterior."
No necesariamente, para eso estan las hsts preloadlist:
https://hstspreload.org/
En cuanto lo de google, creo que tiene que ver con el modo debug. Probablemente desactive hsts.
#116 En cuanto lo de google, creo que tiene que ver con el modo debug. Probablemente desactive hsts.
No creo, porque hice lo mismo con paypal y sí fue directamente al https. Pero con google no lo hizo.
#121 pues es extraño de cojones