Hace 9 años | Por Galero a eff.org
Publicado hace 9 años por Galero a eff.org

Hoy, la EFF se complace en anunciar "Let's Encrypt" (Encriptemos), una iniciativa para una nueva autoridad certificadora (CA) junto con Mozilla, Ciso, Akamai, Identrust e investigadores de la Universidad de Michigan cuyo objetivo es eliminar las barreras de transición de la Web de HTTP a HTTPS. [...] La burocracia para obtener, instalar, y gestionar certificados es la mayor razón para que los sitios web sigan usando HTTP en lugar de HTTPS.

Comentarios

kikuyo

#4 Es que quieren meter en una cripta a toda la web.

E

#4 ¿A ti te importan las cifras y matemáticas que hay por debajo o te importa que tu mensaje quede críptico (oculto, oscuro)? Pues eso.

Luego está la de "encriptar es meter en una cripta" (en este caso #8 y #45, pero siempre hay alguien), demostrando que saben que se pueden formar derivadas con otras palabras del castellano y lexemas de nuestra herencia greco-latina al mismo tiempo que ignoran el origen de la palabra "cripta" y las palabras si aceptadas como "críptico" o "criptografía".

Es casi poético, si atendemos al significado original de cripta, encriptar es efectivamente "meter en lo oculto y oscuro la información".

e

#36 #47 codificar y cifrar son cosas diferentes. Encriptar es un false friend de encrypt.

e

#55 sin entrar en debates de contenido, pasar de una conversación o debate a una discusión gratuitamente dice mucho de tu educación y eso no se enseña en el colegio.

D

#59 Mi más sincera disculpa si el tono ha sido excesivamente rudo. No era la intención, solo trataba (sin éxito) de ser sarcástico.

E

#59 Si eres tu el que ha respondido argumentos etimológicos y lingüísticos con el equivalente a "por mis cojones".

Que si quieres explicarnos porque encriptar es un anglicismo yo encantado, tengo ganas de que alguien lo haga por fin siempre que sale esta conversación. Tiene que ser curiosa la explicación, teniendo en cuenta que lo más probable es que el inglés lo haya cogido de alguna lengua romance o del latín directamente.

(Anglicismo, que no false friend, no se si sabes lo que es un false friend pero entonces estarías diciendo que la palabra encriptar si existe en castellano, que creo que es contrario a tu intención).

En fin, que entre el uso incorrecto de false friend y de "discusión":
http://lema.rae.es/drae/?val=discusi%C3%B3n
http://lema.rae.es/drae/?val=discutir
1. tr. Dicho de dos o más personas: Examinar atenta y particularmente una materia.
2. tr. Contender y alegar razones contra el parecer de alguien. Todos discutían sus decisiones. U. m. c. intr. Discutieron con el contratista sobre el precio de la obra.

No dejas muy bien parada tu autoridad en temas lingüísticos.

Me mosquea la gente que considera "discutir" como algo negativo, siendo lo más productivo que se puede hacer al hablar.

Si te molesta el tono, como ha hecho ya #65, mis disculpas, no es mi intención ser hiriente sino más bien directo y claro. Sobre mi interés por conocer alguna explicación etimológica que indique que "encriptar" es préstamo inglés, no es sarcasmo, realmente me interesaría conocer esos argumentos para poder valorarlos.

D

#4 A mi me parece bien si defiendes que no es una palabra reconocida, pero de ahí a relacionarlo con una "cripta", no tiene nada que ver. (ver #53) Me ha recordado ese meneo de para que sirve el latin, pues para que los nacidos en Cabra se llamen egabrenses y no cabrones.

Esto lo digo porque a veces parece que este tipo de quejas son simple y llanamente por tener una mente cerrada. En nuestro día a día usamos palabras cuyo significado etimológico ya no tiene nada que ver con el significado que le damos, y NO importa.

Además, no quiero desmerecer la RAE, ¿pero desde cuando dicta como se debe hablar? Siempre ha dado sugerencias, y siempre ha ido recolectando lo que se habla, no imponiendolo.

D

#56 Hay quien olvida o desconoce que la creación de palabras se ha disparado en el siglo XXI. Intentar mantener una conversación hoy día sin neologismos, sería un poco extraña.

"Dame una perdida" -> Realiza una conexión mediante tu aparato que envía señales electricas a distancia por el aire, a otro dispositivo mío, sin llegar a establecer una comunicación.

s

#4 la cifrografia mola cada vez mas

D

#4 No me negarás que los datos dentro de una cripta estarán mas seguros..

Galero

#4 Deformación profesional. Lo siento.

p

#4 Creo que codificar sería más fácil de recordar por el público y de más uso cotidiano.

Wheresthebunny

#4 No te pongas tan digno que luego viene la RAE y te jode. Yo dejé de corregir a la gente cuando la RAE aceptó almóndigas y cederrón...y otras tantas lindeces. Esto no sería descabellado más que nada por el uso extendido que se está haciendo del término.

Cehona

#6 ¿Has comprobado en Firefox al importar un certificado de clase 2 de la FNMT si te aparece como entidad certificadora?
Compruébalo.:
https://bug435736.bugzilla.mozilla.org/attachment.cgi?id=483443
#11
http://www.cert.fnmt.es/certificados

musg0

Pero el certificado de la fnmt no está incluido en los navegadores, no? La unica razon para tener que pagar por un certificado que no sea EV es porque la CA esté incluida en el navegador. Si los navegadores aceptasen cualquier certificado autofirmado sin poner pantallas terroríficas no habría necesidad de pagar en muchos casos #18

demostenes

#18 Con el Firefox no puedes entrar en la FNMT porque no la reconoce como autoridad certificadora.
Además hay que importar no sólo uno, sino dos certificados: el FNMT Clase 2 y el FNMT-RCM. Y no soy yo quien lo dice: lo reconoce la propia FNMT
https://www.sede.fnmt.gob.es/preguntas-frecuentes/obtencion-de-certificados/-/asset_publisher/nN14PjDrlrQn/content/1351-%C2%BFque-pasos-debo-seguir-para-instalar-importar-los-certificados-raices-de-fnmt-en-el-navegador-mozilla-firefox-

Cehona

#34 Por eso te indicaba que si instalas un certificado FNMT , como la firma digital, instalas todos los certificados necesarios, y te aparece como autoridad certificadora en Firefox.

D

#27 ¿Y cacert?

r

#38 Hasta donde yo sé el certificado raíz de CACert no está instalado en ningún navegador, luego da lo mismo un CACert que un autofirmado.

D

#43 Todas las distos de Linux lo tienen, al menos como integrable en navegadores.

s

#6 me quieres decir que puedo tener https por poco coste sin que aparezca el aviso de seguridad a todo el mundo?
Donde hay un tutorial para hacerlo?

Andor

#6 En realidad es la FNMT la que dejarse de tonterías y entregar los datos necesarios a Mozilla y cumplir las normas de seguridad, como hace todo el mundo. Parece mentira que la caguen tanto con sus certificados, DNIe incluído. No es Mozilla el único con el que ha tenido problemas la FNMT.

meneandro

#6 Eso y que la empresa que comentas es una empresa privada. El día que desaparezca ¿quién te renueva, mantiene o imparte certificados? lo que se trata de hacer es facilitar certificados por defecto para todo el mundo de manera estándar e independiente.

D

#1 A ver si es verdad lo de gratis. Hay extensiones para el navegador que fuerzan el uso de https pero algunas webs no funcionan bien.

D

Este será su presidente.

D

Este es el problema de cacert y de los certificados autofirmados, como dice #35 con toda la razón del mundo. Si quieres ofrecer a tus visitantes páginas cifradas, o pasas por caja, o pasas por caja, no hay más caminos.

A ver quién es el guapo que entra en tu página web tras ver semejante aviso...

B

#35 #42 Si el navegador se traga cualquier certificado, la seguridad de HTTPS prácticamente se va por el desagüe.
Cifrar está muy bien para que no vean lo que digas una vez establecida la conexión, pero cifrar sin autenticar cuando estás en red es vulnerable a Man In The Middle, lo que significa que

Modelo actual:
Me conecto a Paypal.com => Petición DNS para obtener la IP => Atacante intercepta y me manda su IP => Me conecto a su IP => El certificado que me presenta no se corresponde con Paypal.com, o se corresponde pero la CA no es de fiar (Lolailo CA, quién cojones es ese?) => El navegador aborta y me muestra esa pantalla, como debe

Modelo que proponéis:
Me conecto a Paypal.com => Petición DNS para obtener la IP => Atacante intercepta y me manda su IP => Me conecto a su IP => El atacante me manda un certificado que se corresponde con Paypal.com firmado por Lolailo CA, o autofirmado => Mi navegador es monguer y me muestra la pantalla de login, donde meto mis credenciales => Profit para el atacante

Por eso el navegador muestra una pantalla como si una banda de estafadores nigerianos quisieran hacerse con tus credenciales. Porque por lo que sabe eso podría estar pasando

meneandro

#60 Este cifrado no resuelve los problemas de seguridad ni lo pretende, lo que intenta es resolver el problema de la privacidad, de poner al menos una barrera más en las comunicaciones. Seguirán habiendo certificaciones por parte de empresas para disponer de ese extra que es la autentificación.

B

#62 "lo que intenta es resolver el problema de la privacidad"
Pero es que no lo hace. Si hay mitm, tampoco hay privacidad, porque cualquiera puede interceptar la comunicación y no lo verías.

meneandro

#63 Ese es un problema de seguridad, no de privacidad. Privacidad es que cualquiera que mire los paquetes que van por la red no sepa qué coño contienen (un isp, un sistema de sniffing, etc). Seguridad es que si alguien se mete en medio no pueda descifrar dicho contenido (para eso necesitas certificados firmados, donde hay un organismo que se dedica a proveer mecanismos para que eso no ocurra).

O sea, una conexión http cualquiera sin medios ni recursos puede espiarte. Con una https necesitas crear un problema de seguridad para poder hacerlo.

D

#60 Pero no pienses que se trata de que el navegador se trague cualquier certificado. Más bien trata de que el navegador admita el uso de certificados autofirmados simplemente para otorgar a nuestros visitantes una conexión cifrada. Es evidente que no puedes equiparar un certificado que yo pueda poner a mi blog personal al mismo nivel que el que utilizaría un banco, pero se podría implementar algún tipo de sistema o entidad certificadora para distintos usos, por ejemplo certificados que garanticen el cifrado de la conexión pero no la identidad del sitio web (para webs que no requieran alta seguridad) y luego los tradicionales para asegurar tanto el cifrado como la identidad (para transacciones bancarias y demás)...

Porque tal y como está planteado ahora, si yo quiero cifrar los datos de mi web a mis visitantes, o pago una pasta al año por un certificado o autofirmo uno y sale ese horrible mensaje. Con lo sencillo que sería poner algo como un color naranja al HTTPs que indicara al usuario que la conexión está cifrada pero que no se confía en dicho certificado (y un popup que avisara del peligro de introducir datos sensibles), en vez de un mensaje aterrador que aparece ahora y que acojona al más inocente.

Pero claro, lo de los certificados es un negocio muy lucrativo, ¡para que lo van a chafar! Es algo similar al sistema que sacaron de un simple https verde, o un enorme recuadro verde (para resaltar la conexión segura); otra forma de sacar más dinero a los que necesitan cifrar la conexión.

D

#35 Que yo sepa cifrar sin certificar también es posible, simplemente no aparecerá el indicativo de seguridad completa o en verde (según navegador), y no estarás asegurando que no hay un ataque MiTM, pero cifrado estará.

D

#0 Pero por qué pones mayúsculas aleatoriamente.
Alguien podría haberle corregido el título, da repelús.

Vergessen

#9 Una manía de muchas páginas anglosajonas para los títulos. Todo lo que no sean preposiciones, con mayúscula. Cansa mucho, la verdad.

mojopicon.net

#16 creo que no se trata de una manía, sino de una práctica frecuente para que el título llame más la atención dentro de los resultados de un buscador, que si se predominan las minúsculas.

rogerius

#24 En inglés los títulos llevan mayúscula en la primera letra de cada palabra.

mojopicon.net

#71 no lo sabía. De todas formas sí que se utilizan las mayúsculas para destacar en los resultados de búsqueda, echa un vistazo:
http://davidcantone.com/visibilidad-google/

rogerius

#73 En castellano basta con la mayúscula inicial de la frase y la de nombres propios.

¿De verdad los buscadores valoran la contravención de las normas del propio idioma?

mojopicon.net

#74 los buscadores no, no es una técnica de SEO. Más bien son los propios usuarios los se ven más atraídos por los títulos que siguen ese patrón, y es más probable que hagan clic en ellos, de entre el conjunto de resultados del buscador. Es lo que llaman visibilidad.

Galero

#9, #16 lo ha explicado mejor de lo que lo haría yo. Copié literalmente, quizás demasiado.

fperez

Good bye verisign!

D

#5 good bye Lenin lol

D

#48 A que se debe tu negativo, ¿Me lo puedes explicar?

D

#49 Efecto morcilla por mi parte supongo. No le veo sentido alguno. Veo que ya lo has compensado

eltxoa

Es que lo de los certificados es un negociete. Es algo que cualquiera puede hacerse gratis, pero si no están en una jerarquía reconocida es como cerrar tu web al mundo.

miguelpedregosa

#7 se llama cadena de confianza, esa jerarquía a la que te refieres.

frg

#19 ¿Cadena de confianza?, ¿alguna vez has analizado la misma de las webs seguras que visitas?. Porque si lo hicieras verías que dicha cadena suele ser poco confiable, por la cantidad y variedad de los implicados, y que es un gran negocio del que se aprovechan cuatro.

B

#7 Sí, puedes hacerlo gratis, pero un certificado autofirmado no vale de nada a menos que te conozca y pueda estar seguro de que la firma es de verdad la tuya.
Porque si con el mero hecho de tener un certificado ya confías en quien habla contigo es quien dice ser estás jodido.
Las CAs tienen sentido en cuanto te fías de ellas y, por tanto, te fías de los certificados firmados por ellas.
Para que una CA certifique que paypal.com es paypal.com tendrá que tomarse la molestia de verificar que quien lo pide es, de verdad de la güena, quien dice ser. Si expides el certificado sin verificar nada, poco de fiar eres.

ann_pe

#28 Un autofirmado por lo menos es algo (aunque una chapuza si es para algo de cara al público), el navegador ya se encarga de avisarte, verificas que viene de quien dice ser y ya lo guardas (mirando que todos los datos sean correctos) y lo tienes verificado hasta que caduque o cambies de ordenador, una forma de verificarlo sería llamar al teléfono de atención al cliente, siempre que el nº de teléfono sepamos que es realmente ese, que en algunos casos puede ser difícil y en otros muy fácil porque la empresa tenga tienda física o sus datos de contacto estén en algún sitio de confianza.

B

#69 Por supuesto, pero eso ya se puede hacer, y yo lo he hecho. Si es para servidores de "consumo interno" ni tan mal. Lo que yo digo es que el navegador hace lo correcto, que es avisarte de que el sitio no le parece de fiar. Tú tienes la última palabra y puedes decir que sí que lo es y el navegador aceptará. Pero de ahí a decir que exagera con esas pantallas...

ann_pe

#70 Lo fuerte es que siga habiendo tiendas online como digo en #68 que no usen cifrado (incluso en algún área de cliente sale el nº de cuenta bancaria completo), a mi me parece mucho más preocupante eso que los mensajes del navegador, y que una CA firme un certificado no es caro, más cara puede ser la IP dedicada que obligan a contratar algunos hostings para usarlo y que actualmente no es necesaria.

D

Ahora mismo mi navegador está usando https para leer Menéame

miguelpedregosa

Aumento de casos de phishing en 3,2,1

Ñbrevu

La idea no es mala, pero me pregunto si a largo plazo se puede convertir en un punto único de fallo ("single point of failure": http://es.wikipedia.org/wiki/Single_point_of_failure). Precisamente la gran ventaja de internet es que es distribuido, no centralizado, y esta idea puede ser peligrosa porque va en dirección contraria.

D

#29 #46 Creo que no os habéis leído los últimos párrafos.

D

¿Cuándo aceptará la RAE "encriptar"?.
Para mi que en 5/10 años ya la tenemos en el diccionario.

Nova6K0

Lo primero que debe hacer una empresa de seguridad y/o emisora de certificados de seguridad es ser segura:

http://www.viruslist.com/sp/viruses/news?id=208274832

Por cierto si veo una web auto-firmada, por lo general no entro. Me resulta tremendamente sospechoso.

Salu2

ann_pe

Buena noticia. Todavía hay un montón de tiendas online que siguen usar HTTPS (excepto para la plataforma de pagos), y también compañías telefónicas y eléctricas en las "área de cliente" de sus webs. Incumpliendo las recomendaciones de protección de datos.

Ataulfo

El problema está en el propio concepto de "Entidad Certificadora" que existe en SSL/TLS.

¿Que cualquier entidad certificadora pueda emitir un certificado válido de cualquier web/servicio? Por ejemplo, pongamos que Facebook usa certificados de DigiCert y pongamos que el gobierno chino, que es "de los malos" y que tiene una entidad certificadora en la que confían los navegadores, decide emitir un certificado para Facebook y empezar espiar las comunicaciones de activistas contrarios al gobierno chino... Pues nos van a tener posibilidad de detectar que te están espiando (a no ser que examines el certificado, te des cuenta que la CA es un poco "sospechosa" y te pongas a investigar por ahí) por que el navegador les va a mostrar un bonito candado verde indicando que te has conectado a un servidor legítimo y que las comunicaciones están encriptadas/cifradas/museguras.

Vale, pongamos que es ejemplo que he descrito es demasiado extremo, que el gobierno chino (o cualquier otro gobierno) va a poder espiarte por otros métodos, y que en ese caso es mejor emplear otro tipo de medidas como VPN o TOR...

Pongamos otros ejemplos, como que comprometan la seguridad de una entidad certificadora (http://www.securitybydefault.com/2011/03/me-incomodo.html o http://www.securitybydefault.com/2011/08/compromiso-de-la-autoridad.html) o que por un "error humano" se les escape la clave privada de algún certificado intermedio (http://www.securitybydefault.com/2013/01/algunas-reflexiones-sobre-el-ultimo-ca.html).

Y lo que propone la EFF es: una nueva entidad certificadora que emita certificados gratis y sin comprobar si eres o no el propietario del servicio/web. Pues a mi me suena a precisamente lo contrario a mejorar la seguridad en SSL/TLS. De hecho me entristece bastante que esta propuesta venga de una entidad tan reputada en estos asuntos como la EFF...

Yo creo que la solución va más en cosas como certificate pinning (esto lo veo más como una chapuza temporal, pero que es mejor que lo que tenemos) o DANE http://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities (que sí lo veo como la solución, pero viendo al ritmo que se extienden los estándares, tendremos suerte si esto se acaba funcionando sobre el 2025 )

En fin, que No Future.

D

Desde que Google lo recomendo hay cada vez mas sitios wen con https

p

Comentarios de que se dice cifrar debajo de la línea ...ya se adelantó uno!!
.--.-..--..-.-..---.-.--.-.-..---.

juanjosepablos

pues desde hace años uso CaCert con certificados gratuitos para mis cosas. http://www.cacert.org/

D

#12 Yo también tengo cosas ¿para que necesitaría certificados de esos?

juanjosepablos

#14 para que alguien de Australia certifique tu cosas son tuyas dicho por ti.

e

¿Van a meter toda la web en una cripta?

D

Interesante a ver si es verdad.