Menéame: comentarios [2480663]

#33 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--419859-- — Mon, 21 Sep 2015 08:52:44 +0000

#5 ¿Creíbles?.

Creíble es que esté colaborando con alguna "agencia de seguridad", para algo, como poco, turbio.

Si te crees lo que dicen, se les puede describir con un adjetivo, chapuceros.

Sea como fuere, queda claro que NO SON DE FIAR.

» autor: --419859--

#32 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--491879-- — Sun, 20 Sep 2015 19:52:36 +0000

#17 ¿nadie? Confiarás tú mismo y quien confíe en ellos

» autor: --491879--

#31 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

dudo — Sun, 20 Sep 2015 17:56:41 +0000

Symantec tu antes molabas

» autor: dudo

#30 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

Cidwel — Sun, 20 Sep 2015 17:44:05 +0000

#25 en los EV esto parece más comun de lo que te imaginas. Incluso en la CA para la que trabajo, los EV no requieren personación. Al final se suele validar una entidad mas que un individuo

» autor: Cidwel

#29 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--127714-- — Sun, 20 Sep 2015 16:34:57 +0000

#27 ¡¡A por todas en esta vida, campeón!!

» autor: --127714--

#28 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--83870-- — Sun, 20 Sep 2015 16:13:39 +0000

#23 Human-Computer Interaction, la disciplina científica dedicada al estudio -y mejora- de la comunicación entre seres humanos y sistemas informáticos:
es.m.wikipedia.org/wiki/Interacción_persona-computadora

» autor: --83870--

#27 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

RubiaDereBote — Sun, 20 Sep 2015 15:50:37 +0000

#17 No puedo sobreentender que cuando dices A quieras decir NO A y B, como seguro que comprendes.

» autor: RubiaDereBote

#26 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

qemi — Sun, 20 Sep 2015 14:41:12 +0000

Poned Linux y olvidaros.

» autor: qemi

#25 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--478273-- — Sun, 20 Sep 2015 13:33:34 +0000

[Usuario deshabilitado]

» autor: --478273--

#24 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--478273-- — Sun, 20 Sep 2015 13:14:06 +0000

[Usuario deshabilitado]

» autor: --478273--

#23 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

U5u4r10 — Sun, 20 Sep 2015 13:09:25 +0000

#12 hci?

» autor: U5u4r10

#22 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

mmcnet — Sun, 20 Sep 2015 12:34:01 +0000

#20 "Nunca atribuyas a la estupidez lo que pueda ser explicado por la maldad"
Principio de MMCNET.

» autor: mmcnet

#21 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--83870-- — Sun, 20 Sep 2015 12:16:06 +0000

#20 Eeeso era... Sabía que lo había oído antes. Gracias.

» autor: --83870--

#20 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

Wayfarer — Sun, 20 Sep 2015 11:30:37 +0000

#12 #5 «Nunca atribuyas a la maldad lo que puede ser explicado por la estupidez»
es.wikipedia.org/wiki/Principio_de_Hanlon

» autor: Wayfarer

#19 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--490855-- — Sun, 20 Sep 2015 11:10:24 +0000

La cantidad de certificados falsos que debe de haber rondando por ahí en manos de agencias públicas o empresas especializadas en espionaje a ciudadanos y organizaciones.

Es monstruoso.

» autor: --490855--

#18 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--8686-- — Sun, 20 Sep 2015 10:48:50 +0000

#5 Pues a mí no me convence la explicación. Si realmente son certificados de prueba como dicen que narices hacen usando la CA válida que tiene todo el mundo. Creas otro certificado de CA para las firmas de prueba y lo instalas internamente allá donde quieras hacer las pruebas, así aunque alguien firme algo con ese certificado y se filtre no lo aceptará nadie más.

» autor: --8686--

#17 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--127714-- — Sun, 20 Sep 2015 10:46:24 +0000

#16 Cuando dije "válido" pensaba que se sobreentendía que me refería a "de confianza".

Hoy por hoy tú puedes generar tantos certificados igual de seguros matemática y criptográficamente hablando como cualquier CA, pero nadie confiará en ellos.

Si entiendes el modelo que propone Moxie entenderás a lo que me refiero.

» autor: --127714--

#16 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

RubiaDereBote — Sun, 20 Sep 2015 10:17:49 +0000

#10 "ya que cualquier usuario podría crear un certificado válido"

Cualquiera puede crear un certificado válido. El problema es la confianza del mismo. Y la confianza se la da el propio usuario, muchas veces viene refrendado por el sistema operativo que ya viene con unas agencias de certificación como confiables por defecto.

Un ejemplo muy vistoso son los certificados de la Administración del estado, los certificados son válidos y el sistema operativo no los detecta como confiables porque el Estado no puede delegar esa tarea a una empresa privada de reconocimiento internacional. Pero aun así, son válidos, y son cofiables si así se lo estableces en el sistema operativo/navegador. Igual sucede con los que creas tú mismo en casa. No existe un certificado más válido y confiable para ti, que el creado por ti mismo.

» autor: RubiaDereBote

#15 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

gotxi85 — Sun, 20 Sep 2015 10:17:35 +0000

i.imgur.com/v0ulKWY.jpg

» autor: gotxi85

#14 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

Cidwel — Sun, 20 Sep 2015 10:12:50 +0000

no es la primera CA que cae en bancarrota por emitir un certificado digital inválido

» autor: Cidwel

#13 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

Cidwel — Sun, 20 Sep 2015 10:07:30 +0000

certificate transparency y eso que se pasan por el forro

» autor: Cidwel

#12 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--83870-- — Sun, 20 Sep 2015 08:45:13 +0000

#5 Ante un error causado por un humano, si tienes que elegir entre justificarlo por maldad o estupidez, escoje siempre lo segundo. Acertarás en más del 95% de las ocasiones.

Y lo dice un "experto" en HCI .

» autor: --83870--

#11 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--492510-- — Sun, 20 Sep 2015 08:37:18 +0000

[Usuario deshabilitado]

» autor: --492510--

#10 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--127714-- — Sun, 20 Sep 2015 08:24:31 +0000

#8 Tienes razón, esa solución incrementa en cierta medida la certeza del usuario. Yo personalmente creo más en una tercera figura en la escala de confianza.

Las notarías digitales, que se ocupen de decir en tiempo real si un certificado es válido o no, es el sistema en el que se basa Convergence de Moxie Marlinspike.

Esas entidades serían independientes de las CA y se dedicarían en exclusiva a detectar problemas en los certificados, de esta manera también harían desaparecer el oligopolio de las CA ya que cualquier usuario podría crear un certificado válido ya que serían las notarías las que avalasen su validez.

» autor: --127714--

#9 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--254627-- — Sun, 20 Sep 2015 08:17:44 +0000

Era de noche, habían tomado unas cuantas copas de más, una cosa llevó a la otra...

» autor: --254627--

#8 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--31911-- — Sun, 20 Sep 2015 08:10:16 +0000

Hay una posible "solución" para dificultar que pasen estas cosas. Extender la especificación del sistema de certificados para permitir que sus dueños puedan forzar el firmado múltiple por distintas autoridades de certificación.

Es decir, que cuando el navegador se descarga la información sobre el certificado, este pueda "entender" algún mensaje adjunto indicándole que a partir de ese momento, y para ese dominio, solo acepte certificados firmados por, no sé, digamos 2 o 3 entidades certificadoras, en vez de por solo una.

Esta extensión no sería ideal, admite posibles "ataques", pero si los primeros pasos del protocolo se siguen sin un ataque, a partir de ese momento la seguridad aumenta (y no es peor que antes de introducir esa modificación).

» autor: --31911--

#7 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

llou — Sun, 20 Sep 2015 08:02:22 +0000

#5 Esa es la cuestión, la infraestructura de clave pública es tan o más importante, en este caso claramente más, que las claves del banco. El par maestro debería de ser única y exclusivamente accesible por el gerente de la empresa y quizas alguna otra personas de muchísima confianza.

Pero claro, es que ellos son expertos en gestión.

» autor: llou

#6 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--13404-- — Sun, 20 Sep 2015 07:17:14 +0000

Véase el final de la noticia y el comunicado de Symantec: www.symantec.com/connect/blogs/tough-day-leaders

Anda que la entidad holandesa (cerró) que autorizó unos para que el gobierno iraníes siguiera a unos disidentes

» autor: --13404--

#5 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--127714-- — Sun, 20 Sep 2015 07:15:53 +0000

En realidad soy de los que piensa que las explicaciones de Symantec son creíbles.

Lo preocupante es lo de siempre, cuántas personas en Symantec tienen acceso a generar certificados válidos. Así como en otras compañías hasta el becario tiene las claves de acceso a los servidores principales de la compañía, es más que posible que suceda lo mismo en Symantec.

» autor: --127714--

#4 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--302145-- — Sun, 20 Sep 2015 07:08:44 +0000

[Usuario deshabilitado]

» autor: --302145--

#3 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--491879-- — Sun, 20 Sep 2015 02:08:17 +0000

#1 pues el chrome es durisimo: no te permite aceptar certificados invalidos ni con intervención del usuario
Los autofirmados hay que meterselos a mano antes

» autor: --491879--

#2 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

--487998-- — Sat, 19 Sep 2015 22:25:12 +0000

On September 14, around 19:20 GMT, Symantec’s Thawte-branded CA issued an Extended Validation (EV) pre-certificate for the domains google.com and www.google.com. This pre-certificate was neither requested nor authorized by Google.

» autor: --487998--

#1 Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

Hopo — Sat, 19 Sep 2015 22:09:30 +0000

Si yo fuera google, haría que chrome dejara de aceptar los certificados firmados por Symantec. Deste ya mismo.

» autor: Hopo