#16:
#14 Cuando te conectas a meneame.net verás en tu navegador un candado (generalmente verde), eso significa que la conexión entre tu navegador y el servidor web de meneame va cifrada, nadie puede escuchar la "conversación" que tienes con ese sitio web.
Para que eso ocurra, meneame.net ha tenido que conseguir un certificado firmado por una entidad certificadora y ese certificado vale dinero, si ponemos el ejemplo de meneame, la entidad certificadora es GoDaddy y el tipo de certificado que está usando sería el que verás en medio de esta página (PROTEGE VARIOS SITIOS WEB) https://es.godaddy.com/web-security/ssl-certificate que a día de hoy vale 148,82 € al año. Esto es un ejemplo, hay certificados mucho más baratos y otros más caros.
Para que la conexión vaya cifrada desde tu sitio web a los navegadores que la visitan, no es necesario pagar nada a nadie, tú mismo puedes autofirmar tus propios certificados, la conexión irá cifrada exactamente igual pero recibirás en tu navegador una bonita advertencia (que asusta un poco) similar a esta: http://i.imgur.com/wLR1t.png
Esa advertencia sale porque el navegador no confía en la entidad certificador (CA) que ha firmado el certificado de tu sitio web. Esas entidades certificadoras vienen incluidas en los navegadores directamente (Firefox) o en el sistema operativo y los navegadores hacen uso de ellas (Internet Explorer, Chrome...). Si esa entidad certificadora está añadida, tu navegador confía en ella y en todo lo que haya firmado. En este ejemplo, GoDaddy está añadida en ese almacén de certificados en los que confía el navegador y como el certificado de meneame.net lo ha firmado GoDaddy, no verás ninguna advertencia en tu navegador y conseguirás tu conexión cifrada y un bonito candado verde.
Como has visto, los certificados cuestan un buen dinero cada año así que no todo el mundo puede permitirse adquirir uno. Let's Encrypt ha nacido para llevar el cifrado a toda la web (por tu seguridad/privacidad y la mía). Tú, bien seas un particular o una empresa, puedes generar un certificado válido para tu sitio web (servidor de correo, imap, etc.) que será reconocido como válido por la gran mayoría de navegadores, clientes de correo, etc. y de forma totalmente gratuita.
Espero no haberme extendido mucho y que aunque sea una explicación simplona, te sirva para comprender un poquillo de qué va todo esto
#6:
#5 lo que debes entender es que los certificados generados por Let's Encrypt son válidos para cualquier navegador actual. No sé qué quieres decir con que generaste un certificado hace meses, Let's Encrypt consiguió el 19 de Octubre que su certificado de CA Intermedia fuera firmada por IdenTrust consiguiendo así que todos los certificados que firma sean reconocidos por la mayor parte de navegadores. Cualquier certificado que tú hayas podido generar con ellos antes de esa fecha no era reconocido como válido por ningún navegador. Desde hoy, cualquiera, sin necesidad de gastarse un duro puede generar un certificado ssl reconocido como válido por la inmensa mayoría de navegadores. Para mí es un hito en la historia de internet.
#3:
#2 Desde hoy 3 de Diciembre a las 18:00 GMT. Durante la beta cerrada que ha durado un par de meses, sólo podías generar un certificado válido si habías solicitado incluir tus dominios en su lista blanca y te habían mandado una invitación. Como digo, desde hoy cualquiera puede generar un certificado sin necesidad de invitaciones ni nada por el estilo.
#18:
#14 A la explicación de #16, añado que un certificado permite a tu navegador estar seguro de que la web que estás visitando es realmente la que crees estar visitando, porque se identifica con un certificado que está avalado o ha sido emitido por una entidad certificadora de confianza (en este caso Let's Encrypt).
#70:
#21 Es una iniciativa de la EFF (Electronic Frontier Foundation), y en la misma página puedes ver los patrocinadores, tales como Cisco, Fundación Linux, ISRG, Facebook... Es una iniciativa sin ánimo de lucro en pos de la encriptación de la WWW.
#17:
¿Esto podría servir para que las Administraciones públicas de una puñetera vez firmaran con un certificado de seguridad de sus páginas webs seguras?
Meterse en la de la Seguridad Social es toda una aventura, todo el rato añadiendo excepciones de seguridad, con las de la DGT lo mismo, al igual que pasa con las Diputaciones y con Hacienda que somos todos, bueno algunos más que otros...
#22:
#1 SSL o TLS, a nivel técnico TLS es el nombre de otra versión en cierto modo. Más bien el protocolo HTTP quedaría obsoleto a favor de HTTPS, por lo que a estas alturas sí es un buen momento de regalar un certificado confiable, ya que autofirmados o de una autoridad no confiada siempre han podido ser gratis.
#48:
#33 Si bien es cierto que startssl ofrece certificados gratuitos desde hace ya un tiempo (también lo hace wosign), estos certificados están limitados a un dominio (hablo de startssl, de wosign sé que existe pero no lo he utilizado), si quiero un certificado para www.midominio.tld
#8:
#7 Es que me pagan una pasta por promocionarlos, sólo tienes que ver el color de mi avatar, soy un vendido
#5 lo que debes entender es que los certificados generados por Let's Encrypt son válidos para cualquier navegador actual. No sé qué quieres decir con que generaste un certificado hace meses, Let's Encrypt consiguió el 19 de Octubre que su certificado de CA Intermedia fuera firmada por IdenTrust consiguiendo así que todos los certificados que firma sean reconocidos por la mayor parte de navegadores. Cualquier certificado que tú hayas podido generar con ellos antes de esa fecha no era reconocido como válido por ningún navegador. Desde hoy, cualquiera, sin necesidad de gastarse un duro puede generar un certificado ssl reconocido como válido por la inmensa mayoría de navegadores. Para mí es un hito en la historia de internet.
1.- No, el navegador no te dará ningún aviso, puedes probarlo accediendo a https://helloworld.letsencrypt.org/ cuyo certificado está creado y firmado de la misma forma que lo estaría el tuyo si lo haces con Let's Encrypt.
2.- Puedes crear un certificado para los dominios y subdominios que quieras (hasta un máximo de 100 por certificado). Es decir, en el mismo certificado puedes tener tudominio.tld, www.tudominio.tld, webmail.tudominio.tld, otrodominio.tld... así hasta 100. Lo que no permite es certificados "wildcard" es decir, no puedes crear un certificado para *.tudominio.tld
3.- El certificado se lo puedes poner a la web que quieras, da igual que sea wordpress y da igual para qué lo utilices.
Yo entiendo que esto que dices no tiene nada que ver con la gratuidad del certificado.
Vamos, que la noticia no dice que pase a ser gratuito porque ya lo era, sino que pasa a un nuevo proceso de emisión de certificado no sujeto a invitaciones
¿Esto podría servir para que las Administraciones públicas de una puñetera vez firmaran con un certificado de seguridad de sus páginas webs seguras?
Meterse en la de la Seguridad Social es toda una aventura, todo el rato añadiendo excepciones de seguridad, con las de la DGT lo mismo, al igual que pasa con las Diputaciones y con Hacienda que somos todos, bueno algunos más que otros...
#17 Creo que no, porque necesitariamos que Webcrypto, como proyecto, este funcionando al 100%.
Aquí en Colombia tambien tenemos el mismo problema: esa maldita mania de la administración de meter Java hasta en los cojones (creo que es a eso a lo que te refieres cuando hablas de las excepciones de seguridad).
#20 creo que #17 no se refiere a java. Aqui en españa el gobierno mete en sus paginas un certificado que no esta avalado por ninguna CA. Tienes que instalar un certificado raiz para que no te cante.
Esto, por cierto, llevan como 11 años para arreglarlo. Lo ultimo que lei es que estaban dando los ultimos pasos para convertirse en CA.
#24#17 El caso es que la CA que usa el gobierno es la FNMT. Por lo general el certificado raíz de la FNMT no está incluído por defecto en el navegador, por lo que tendrías que importarlo para que el navegador lo reconozca.
El gobierno logró que microsoft y google incluyeran el certificado en internet explorer, por eso seguramente no encuentres aviso si accedes a la dgt, por ejemplo, con explorer o chrome
#20 Lo que dice de añadir excepciones es porque la Fábrica de Moneda y Timbre, que es la entidad que ha emitido los certificados que usa la Administración estatal, no está reconocida como entidad certificadora y por eso hay que añadir excepciones de seguridad o bien añadir el certificado de CA de la FNMT en el almacén de certificados.
#42 Lo comenta #26. El problema no es de dinero, el probllema es que las webs del estado confían en una entidad certificadora que en este caso es la FNMT (Fábrica Nacional de Moneda y Timbre). Lamentablemente el certificado de la FNMT no está incluído en ningún almacén de certificados (ni en Firefox, ni Windows, ni ningún sitio), de ahí que haya que añadirlo manualmente si quieres dejar de recibir esos avisos. Que yo sepa se ha intentado añadir el certificado de la FNMT al almacén de certificados de Firefox desde hace muchos años pero de momento aún no se ha conseguido, puedes echarle un ojo al bugtrack que se añadió en Firefox para añadirlo: https://bugzilla.mozilla.org/show_bug.cgi?id=435736
#47 El Gobierno comprando miles de licencias a Microsoft y no es capaz de ni incluir el certificado del Estado en el sistema operativo.
Si yo fuera el Gobierno, incluía como condición en el pliego de adjudicación del sistema operativo que el certificado de la CNMT estuviera integrado. Ibas a ver qué rápido lo incluían.
#54 Windows ya hace tiempo que en cierto modo * incluye los certificados raíz de la FNMT, pero como dice #47 si los navegadores no lo incorporan no es cuestión de dinero, sino de que la FNMT no ha cumplido algo de los requisitos que estos ponen, como tener servidor OCSP, etc, etc, y por eso Firefox sigue sin incorporarlos.
#17 no.
Tu puedes tener un certificado emitido por el mismo Papa de Roma, pero si lo has pedido para nasa.org en vez de cardadospubicos.net te saltarán alarmas.
Eso, y que tu navegador no confía en el Papa hasta que tu le digas que es de fiar, son las dos principales causas de los fallos con los certificados de las administraciones (en sitios privados también ocurre, pero con menor frecuencia).
#21 Es una iniciativa de la EFF (Electronic Frontier Foundation), y en la misma página puedes ver los patrocinadores, tales como Cisco, Fundación Linux, ISRG, Facebook... Es una iniciativa sin ánimo de lucro en pos de la encriptación de la WWW.
#33 Si bien es cierto que startssl ofrece certificados gratuitos desde hace ya un tiempo (también lo hace wosign), estos certificados están limitados a un dominio (hablo de startssl, de wosign sé que existe pero no lo he utilizado), si quiero un certificado para www.midominio.tld
#33 startssl no te da certificados gratuitos para tiendas online o similares.
Incluso he leido que si tienes un botón de paypal para donaciones te pueden denegar el certificado.
Y además cobran 25 euros para revocar el certificado y no te hacen otro para el mismo dominio hasta que caduque, así que sientes un zoquete como yo y pierdes la clave privada nada más crearte el certificado, o pagas o te lo sacas en otro sitio.
El resto de sitios con certificados gratuitos suele ser de prueba de 1 mes, y como no se pueden automatizar son un coñazo de usar en el dia a día.
En mi opinión letsencrypt potenciará la importancia de los certificados EV, y probablemente hará que bajen de precio, ya que aunque la comunicación sea segura lo que la gente quiere es tener la confianza de que el sitio que visita es quien dice ser
#59 Si si... si yo me puedo crear una pagina hoy que sea perfectamente legal, donde venda comida para lemures, y una vez que tenga el certificado, zas! la cambio de arriba a abajo
Por supuesto, me detectaran, y me revocaran el certificado, pero hasta que se den cuenta...
#61 Pero eso te va a pasar con cualquier entidad certificadora, no creo que la misión de una CA sea estar vigilando qué hace cada uno de los dominios que ha certificado durante la vigencia de ese certificado, no es su papel en este juego. Para eso, los navegadores están implementando mecanismos para avisarte cuando han detectado que un sitio puede ser potencialmente peligroso, Chrome y Firefox lo hacen (supongo que otros también lo harán), y si no recuerdo mal, ambos usan la Safe Browsing API de Google https://developers.google.com/safe-browsing/
#61 No obstante el certificado asegura al usuario que esa página que parece pertenecer a su banco es realmente el dominio "comidaparalemures.com".
El error es asumir que el usuario tiene que creerse sin más la identidad que consta en el certificado. El usuario tiene que ser responsable de comprobar si el dominio que está visitando es de quien dice ser. Ahí la ICANN cobra más importancia que la propia identificación que conste en el certificado.
#14 Cuando te conectas a meneame.net verás en tu navegador un candado (generalmente verde), eso significa que la conexión entre tu navegador y el servidor web de meneame va cifrada, nadie puede escuchar la "conversación" que tienes con ese sitio web.
Para que eso ocurra, meneame.net ha tenido que conseguir un certificado firmado por una entidad certificadora y ese certificado vale dinero, si ponemos el ejemplo de meneame, la entidad certificadora es GoDaddy y el tipo de certificado que está usando sería el que verás en medio de esta página (PROTEGE VARIOS SITIOS WEB) https://es.godaddy.com/web-security/ssl-certificate que a día de hoy vale 148,82 € al año. Esto es un ejemplo, hay certificados mucho más baratos y otros más caros.
Para que la conexión vaya cifrada desde tu sitio web a los navegadores que la visitan, no es necesario pagar nada a nadie, tú mismo puedes autofirmar tus propios certificados, la conexión irá cifrada exactamente igual pero recibirás en tu navegador una bonita advertencia (que asusta un poco) similar a esta: http://i.imgur.com/wLR1t.png
Esa advertencia sale porque el navegador no confía en la entidad certificador (CA) que ha firmado el certificado de tu sitio web. Esas entidades certificadoras vienen incluidas en los navegadores directamente (Firefox) o en el sistema operativo y los navegadores hacen uso de ellas (Internet Explorer, Chrome...). Si esa entidad certificadora está añadida, tu navegador confía en ella y en todo lo que haya firmado. En este ejemplo, GoDaddy está añadida en ese almacén de certificados en los que confía el navegador y como el certificado de meneame.net lo ha firmado GoDaddy, no verás ninguna advertencia en tu navegador y conseguirás tu conexión cifrada y un bonito candado verde.
Como has visto, los certificados cuestan un buen dinero cada año así que no todo el mundo puede permitirse adquirir uno. Let's Encrypt ha nacido para llevar el cifrado a toda la web (por tu seguridad/privacidad y la mía). Tú, bien seas un particular o una empresa, puedes generar un certificado válido para tu sitio web (servidor de correo, imap, etc.) que será reconocido como válido por la gran mayoría de navegadores, clientes de correo, etc. y de forma totalmente gratuita.
Espero no haberme extendido mucho y que aunque sea una explicación simplona, te sirva para comprender un poquillo de qué va todo esto
#14 A la explicación de #16, añado que un certificado permite a tu navegador estar seguro de que la web que estás visitando es realmente la que crees estar visitando, porque se identifica con un certificado que está avalado o ha sido emitido por una entidad certificadora de confianza (en este caso Let's Encrypt).
#18 Hoy en día, y especialmente con let's encrypt, cualquiera puede obtener un certificado con un nombre completamente falso.
Lo que puede hacer la entidad certificadora es revocarlo a la primera señal de fraude, por lo que sería más fácil detectar webs fraudulentas.
Existen certificados de mayor nivel de seguridad que realmente certifican lo que dices, y habitualmente cuestan bastante más. Son los que usan por ejemplo los bancos, que no muestran solo el candado en la barra de direcciones, sino que muestran más información (el nombre del banco), la barra de direcciones se pone verde, etc...
#36 Un certificado certifica que el dominio que accedes es realmente el que crees estar accediendo. Y punto.
Por supuesto con el dinero suficiente puedes incluir en el certificado información que diga que eres Emperador del Universo y Alrededores. Pero que haya niveles superiores de certificación de identidad es algo que ya no está directamente relacionado con la tecnología.
#71 hombre, para obtener algunos tipos de certificado, las empresas certificadoras te piden algo más que tu número de tarjeta. A eso me refería más que nada.
Sino los niveles de certificación no tendrían ningún sentido...
#71 de todos modos, tengo que admitir que he malinterpretado tu anterior comentario. Pensaba que estabas diciendo que certificaba la identidad de la entidad o persona que se encontraba detrás del dominio y no el del dominio en sí. De ahí mi respuesta.
#16 Dudas de otro que no tiene ni idea del tema con dudas:
Esos certificados gratuitos de Let's Encrypt ¿Son realmente seguros? Es decir, además de ser reconocidos por navegadores y evitar la advertencia ¿Asegura de alguna forma la encriptación de la comunicación? También me pregunto que gana Let's Encrypt con esto ¿O es una entidad sin animo de lucro? Porque me imagino que todo esto tiene al final cierto coste ¿no?
#21 La encriptacion de la informacion esta asegurada incluso con un certificado que te puedes crear tu mismo en tu ordenador. El problema no es la encriptacion de la informacion, si no que el servicio o web al que conectes sea realmente quien dice ser.
Si por ejemplo conectando con tu banco, el navegador te da La tipica advertencia significa que no se puede asegurar que sea de verdad tu banco, podria ser otra pagina web intentando timarte y haciendose pasar por tu banco.
Pero ojo si no salta la advertencia tampoco se puede asegurar mucho, porque cualquiera puede comprar un certificado, das unos datos por ejemplo pepe perez s.l. y cualquier entidad certificadora te vende el certificado al nombre que le digas, las entidades no se van a poner a investigar si quien esta detras de pepe perez s.l. es un timador o no.
#23 Se puede asegurar bastante, nada menos que el dominio que estás visitando.
De hecho con esta iniciativa el nombre que conste en el certificado importa bien poco (porque cualquiera puede poner el que quiera), lo realmente importante es comprobar el dominio que el certificado te asegura que estás visitando.
#72 La gente no se para a comprobar los certificados, simplemente quiere saber que si no le salta la advertencia todo esta bien y es seguro. Y desgraciadamente esto no se puede asegurar, a mucha gente, si su banco es un .es y le cuelas un .com ni se entera, con lo que el certificado ahi no sirve de mucho.
#76 La negligencia del usuario no invalida que la tecnología es segura. Que el usuario es tonto y se traga cualquier cosa lo sabemos todos, pero eso es algo que va a tener que cambiar sí o sí.
#44 Yo lo veo al revés, evidentemente si eres un administrador esto puede facilitarte la vida para mantener las conexiones seguras con los servicios que provees, pero yo la relevancia realmente se la veo para el usuario de a pie, somos esos usuarios los que nos vamos a beneficiar de que más sitios implementen certificados para cifrar nuestras conexiones y saber que realmente estamos accediendo al sitio que queremos conectar.
#10 Correcto, la validez de los certificados es de 90 días, su máxima meta es que este proceso (creación y renovación) sea automatizado, de ahí que hayan hecho incapié en una validez tan corta.
Evidentemente esto no es plato de gusto para todos, puedes echar un ojo a un par de hilos hablando de este tema... largo y tendido:
#13 no, si lo veo estupendo, y máxime en certificados gratuitos! Si algún día acaban de dilucidar el problema de los Wildcard, a mi me hacen ya un hombre !
#66 Claro que tiene utilidad y mucha, de hecho si eres poseedor de una tienda virtual ya deberías tener un certificado que cifre las conexiones con los usuarios y valide que tu sitio es el que dice ser. Lo único que ahora ese certificado para ti será gratuito, no tendrás que desembolsar dinero para tener uno.
#66 Muchas tiendas online siguen sin utilizar HTTPS cuando el usuario introduce datos personales a pesar de ser lo recomendado por la AGPD, y lo utilizan sólo para el paso de pago.
Let's Encrypt puede ayudar a que eso cambie, pero las tiendas que ya lo usan no tienen motivo para cambiar a esta plataforma, los pocos euros que vale el certificado y más se lo gastarían en migrar a estos, y luego que también hay varios tipos de certificados.
#9 Desde luego es una gran noticia. Si los administradores demuestran un mínimo de interés, esta iniciativa puede suponer un "boom" de la seguridad en Internet.
#84 Sí, lo se, soy usuario de StartCom, aunque yo sí pago porque necesito varios certificados wildcard y de momento es la solución más económica que he encontrado. WoSign me pareció muy caro y complejo (supongo que por las diferencias culturales con China).
#86 Este no lo conocía y bueno es para tenerlo en cuenta. A mi todavía me merece la pena pagar por un wildcard dado que la infrastructura y mantenimiento que necesitaría para montarlo con Let's Encrypt sería un dolor de cabeza constante. Mi web genera un subdominio por cada nuevo usuario y con el certificado de StartCom ahora es instalarlo y olvidarme durante dos años. La caducidad cada 3 meses y tener que solicitar un certificado para cada usuario no me compensan los 60 dólares de ahorro.
#51 Por poder puedes solicitarlo pero te lo van a denegar (siento que ese man in the middle o sandwich que le quieres hacer a tu vecina no vaya a poder ser).
Cuando pides los certificados se siguen unos pasos para validar que controlas el dominio para el que pides el certificado.
#1 SSL o TLS, a nivel técnico TLS es el nombre de otra versión en cierto modo. Más bien el protocolo HTTP quedaría obsoleto a favor de HTTPS, por lo que a estas alturas sí es un buen momento de regalar un certificado confiable, ya que autofirmados o de una autoridad no confiada siempre han podido ser gratis.
#83 sí, y WoSign también. StartCom te hace pagar para revocarlo, te hace pagar para hacer reissue incluso en caso de debilidad o vulnerabilidad, por lo que no es oro todo lo que reluce. WoSign también ha tenido problemas con las políticas y ha estado a punto de ser eliminado de las listas de certificados raíz.
#2 Desde hoy 3 de Diciembre a las 18:00 GMT. Durante la beta cerrada que ha durado un par de meses, sólo podías generar un certificado válido si habías solicitado incluir tus dominios en su lista blanca y te habían mandado una invitación. Como digo, desde hoy cualquiera puede generar un certificado sin necesidad de invitaciones ni nada por el estilo.
Comentarios
#5 lo que debes entender es que los certificados generados por Let's Encrypt son válidos para cualquier navegador actual. No sé qué quieres decir con que generaste un certificado hace meses, Let's Encrypt consiguió el 19 de Octubre que su certificado de CA Intermedia fuera firmada por IdenTrust consiguiendo así que todos los certificados que firma sean reconocidos por la mayor parte de navegadores. Cualquier certificado que tú hayas podido generar con ellos antes de esa fecha no era reconocido como válido por ningún navegador. Desde hoy, cualquiera, sin necesidad de gastarse un duro puede generar un certificado ssl reconocido como válido por la inmensa mayoría de navegadores. Para mí es un hito en la historia de internet.
#6 Pero sale el aviso o no?
Cualquiera puede ponerse un certificado autofirmado y no hay problema, más allá del aviso que da el navegador.
Hace no mucho vompre un certificado que ofrece dominio y subdominios para un portal, hace esto lo mismo?
Tengo un wordpress pelao sin nada para notas y lo tengo sin certificado en otro dominio. Le podré poner este?
#35
Pero sale el aviso o no?
No si tu navegador cuenta con IdenTrust como CA confiable
Cualquiera puede ponerse un certificado autofirmado y no hay problema
Hombre ... depende de para qué lo uses no hay problema.
Tengo un wordpress pelao sin nada para notas y lo tengo sin certificado en otro dominio. Le podré poner este?
Tienes que ser poseedor del dominio y tener ciertos permisos de administración ( o sobre el DNS o sobre el root del servidor )
#35
1.- No, el navegador no te dará ningún aviso, puedes probarlo accediendo a https://helloworld.letsencrypt.org/ cuyo certificado está creado y firmado de la misma forma que lo estaría el tuyo si lo haces con Let's Encrypt.
2.- Puedes crear un certificado para los dominios y subdominios que quieras (hasta un máximo de 100 por certificado). Es decir, en el mismo certificado puedes tener tudominio.tld, www.tudominio.tld, webmail.tudominio.tld, otrodominio.tld... así hasta 100. Lo que no permite es certificados "wildcard" es decir, no puedes crear un certificado para *.tudominio.tld
3.- El certificado se lo puedes poner a la web que quieras, da igual que sea wordpress y da igual para qué lo utilices.
#6
Yo entiendo que esto que dices no tiene nada que ver con la gratuidad del certificado.
Vamos, que la noticia no dice que pase a ser gratuito porque ya lo era, sino que pasa a un nuevo proceso de emisión de certificado no sujeto a invitaciones
¿Esto podría servir para que las Administraciones públicas de una puñetera vez firmaran con un certificado de seguridad de sus páginas webs seguras?
Meterse en la de la Seguridad Social es toda una aventura, todo el rato añadiendo excepciones de seguridad, con las de la DGT lo mismo, al igual que pasa con las Diputaciones y con Hacienda que somos todos, bueno algunos más que otros...
#17 Creo que no, porque necesitariamos que Webcrypto, como proyecto, este funcionando al 100%.
Aquí en Colombia tambien tenemos el mismo problema: esa maldita mania de la administración de meter Java hasta en los cojones (creo que es a eso a lo que te refieres cuando hablas de las excepciones de seguridad).
#20 creo que #17 no se refiere a java. Aqui en españa el gobierno mete en sus paginas un certificado que no esta avalado por ninguna CA. Tienes que instalar un certificado raiz para que no te cante.
Esto, por cierto, llevan como 11 años para arreglarlo. Lo ultimo que lei es que estaban dando los ultimos pasos para convertirse en CA.
#24 #17 El caso es que la CA que usa el gobierno es la FNMT. Por lo general el certificado raíz de la FNMT no está incluído por defecto en el navegador, por lo que tendrías que importarlo para que el navegador lo reconozca.
El gobierno logró que microsoft y google incluyeran el certificado en internet explorer, por eso seguramente no encuentres aviso si accedes a la dgt, por ejemplo, con explorer o chrome
https://sede.dgt.gob.es/es/
Sin embargo no lograron que mozilla hiciera lo mismo en firefox, por lo que en ese navegador salta aviso
#20 Lo que dice de añadir excepciones es porque la Fábrica de Moneda y Timbre, que es la entidad que ha emitido los certificados que usa la Administración estatal, no está reconocida como entidad certificadora y por eso hay que añadir excepciones de seguridad o bien añadir el certificado de CA de la FNMT en el almacén de certificados.
#42 Lo comenta #26. El problema no es de dinero, el probllema es que las webs del estado confían en una entidad certificadora que en este caso es la FNMT (Fábrica Nacional de Moneda y Timbre). Lamentablemente el certificado de la FNMT no está incluído en ningún almacén de certificados (ni en Firefox, ni Windows, ni ningún sitio), de ahí que haya que añadirlo manualmente si quieres dejar de recibir esos avisos. Que yo sepa se ha intentado añadir el certificado de la FNMT al almacén de certificados de Firefox desde hace muchos años pero de momento aún no se ha conseguido, puedes echarle un ojo al bugtrack que se añadió en Firefox para añadirlo: https://bugzilla.mozilla.org/show_bug.cgi?id=435736
#47 eso pasa por dejar las cosas en manos de funcionarios. Una empresa hubiera hecho lo que hiciese falta para que lo incluyesen.
#47 El Gobierno comprando miles de licencias a Microsoft y no es capaz de ni incluir el certificado del Estado en el sistema operativo.
Si yo fuera el Gobierno, incluía como condición en el pliego de adjudicación del sistema operativo que el certificado de la CNMT estuviera integrado. Ibas a ver qué rápido lo incluían.
#54 Windows ya hace tiempo que en cierto modo * incluye los certificados raíz de la FNMT, pero como dice #47 si los navegadores no lo incorporan no es cuestión de dinero, sino de que la FNMT no ha cumplido algo de los requisitos que estos ponen, como tener servidor OCSP, etc, etc, y por eso Firefox sigue sin incorporarlos.
*. http://www.securitybydefault.com/2010/04/gestion-de-certificados-digitales-en.html
#17 no.
Tu puedes tener un certificado emitido por el mismo Papa de Roma, pero si lo has pedido para nasa.org en vez de cardadospubicos.net te saltarán alarmas.
Eso, y que tu navegador no confía en el Papa hasta que tu le digas que es de fiar, son las dos principales causas de los fallos con los certificados de las administraciones (en sitios privados también ocurre, pero con menor frecuencia).
Enlaces de interés:
Un foro donde preguntar y ver noticias sobre Let's Encrypt: https://community.letsencrypt.org
La documentación oficial: http://letsencrypt.readthedocs.org/en/latest/
El repositorio en GitHub con el software que usa Let's Encrypt: https://github.com/letsencrypt/
#21 Es una iniciativa de la EFF (Electronic Frontier Foundation), y en la misma página puedes ver los patrocinadores, tales como Cisco, Fundación Linux, ISRG, Facebook... Es una iniciativa sin ánimo de lucro en pos de la encriptación de la WWW.
¿Y que tiene de novedoso esta noticia, aparte de la publicidad de un nuevo actor en el escenario de los certificadores?.
Hace ya años que utilizo certificados válidos gratuitos, en concreto los de http://www.startssl.com , y hay más opciones similares.
Vale, ahora me he leído la noticia, y lo interesante es que no es una empresa, sino una organización la que proporcina los certificados.
#33
¿ cuando dices válidos te refieres a reconocidos por los principales navegadores ?
Otra ventaja de Let's Encrypt es su gestión automática de renovación
#33 Si bien es cierto que startssl ofrece certificados gratuitos desde hace ya un tiempo (también lo hace wosign), estos certificados están limitados a un dominio (hablo de startssl, de wosign sé que existe pero no lo he utilizado), si quiero un certificado para www.midominio.tld
#48 gracias: estoy en modo vaguete y estaba buscando un comentario que me lo aclarase
#48 Estoy por enviar tu comentario como noticia, ya que da LA información necesaria, y como comentan, la información necesaria para vagos.
#33 startssl no te da certificados gratuitos para tiendas online o similares.
Incluso he leido que si tienes un botón de paypal para donaciones te pueden denegar el certificado.
Y además cobran 25 euros para revocar el certificado y no te hacen otro para el mismo dominio hasta que caduque, así que sientes un zoquete como yo y pierdes la clave privada nada más crearte el certificado, o pagas o te lo sacas en otro sitio.
El resto de sitios con certificados gratuitos suele ser de prueba de 1 mes, y como no se pueden automatizar son un coñazo de usar en el dia a día.
En mi opinión letsencrypt potenciará la importancia de los certificados EV, y probablemente hará que bajen de precio, ya que aunque la comunicación sea segura lo que la gente quiere es tener la confianza de que el sitio que visita es quien dice ser
#55 Échale un ojo a su política sobre phising y malware y como intentan combatirlo https://letsencrypt.org/2015/10/29/phishing-and-malware.html
#59 Si si... si yo me puedo crear una pagina hoy que sea perfectamente legal, donde venda comida para lemures, y una vez que tenga el certificado, zas! la cambio de arriba a abajo
Por supuesto, me detectaran, y me revocaran el certificado, pero hasta que se den cuenta...
#61 Pero eso te va a pasar con cualquier entidad certificadora, no creo que la misión de una CA sea estar vigilando qué hace cada uno de los dominios que ha certificado durante la vigencia de ese certificado, no es su papel en este juego. Para eso, los navegadores están implementando mecanismos para avisarte cuando han detectado que un sitio puede ser potencialmente peligroso, Chrome y Firefox lo hacen (supongo que otros también lo harán), y si no recuerdo mal, ambos usan la Safe Browsing API de Google https://developers.google.com/safe-browsing/
#61 No obstante el certificado asegura al usuario que esa página que parece pertenecer a su banco es realmente el dominio "comidaparalemures.com".
El error es asumir que el usuario tiene que creerse sin más la identidad que consta en el certificado. El usuario tiene que ser responsable de comprobar si el dominio que está visitando es de quien dice ser. Ahí la ICANN cobra más importancia que la propia identificación que conste en el certificado.
espero con ansia que se extienda dnssec y por extension dane
https://en.m.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities
en el momento que sea de uso global, se terminaron las entidades auntentificadoras tal como las conocemos
Podríais hacer un croquis para legos en la materia, por favor?
#14 ¿Un croquis para legos? Claro, aquí lo tienes:
http://robertopla.net/blog/img/lego_croquis.jpg
#14 Cuando te conectas a meneame.net verás en tu navegador un candado (generalmente verde), eso significa que la conexión entre tu navegador y el servidor web de meneame va cifrada, nadie puede escuchar la "conversación" que tienes con ese sitio web.
Para que eso ocurra, meneame.net ha tenido que conseguir un certificado firmado por una entidad certificadora y ese certificado vale dinero, si ponemos el ejemplo de meneame, la entidad certificadora es GoDaddy y el tipo de certificado que está usando sería el que verás en medio de esta página (PROTEGE VARIOS SITIOS WEB) https://es.godaddy.com/web-security/ssl-certificate que a día de hoy vale 148,82 € al año. Esto es un ejemplo, hay certificados mucho más baratos y otros más caros.
Para que la conexión vaya cifrada desde tu sitio web a los navegadores que la visitan, no es necesario pagar nada a nadie, tú mismo puedes autofirmar tus propios certificados, la conexión irá cifrada exactamente igual pero recibirás en tu navegador una bonita advertencia (que asusta un poco) similar a esta: http://i.imgur.com/wLR1t.png
Esa advertencia sale porque el navegador no confía en la entidad certificador (CA) que ha firmado el certificado de tu sitio web. Esas entidades certificadoras vienen incluidas en los navegadores directamente (Firefox) o en el sistema operativo y los navegadores hacen uso de ellas (Internet Explorer, Chrome...). Si esa entidad certificadora está añadida, tu navegador confía en ella y en todo lo que haya firmado. En este ejemplo, GoDaddy está añadida en ese almacén de certificados en los que confía el navegador y como el certificado de meneame.net lo ha firmado GoDaddy, no verás ninguna advertencia en tu navegador y conseguirás tu conexión cifrada y un bonito candado verde.
Como has visto, los certificados cuestan un buen dinero cada año así que no todo el mundo puede permitirse adquirir uno. Let's Encrypt ha nacido para llevar el cifrado a toda la web (por tu seguridad/privacidad y la mía). Tú, bien seas un particular o una empresa, puedes generar un certificado válido para tu sitio web (servidor de correo, imap, etc.) que será reconocido como válido por la gran mayoría de navegadores, clientes de correo, etc. y de forma totalmente gratuita.
Espero no haberme extendido mucho y que aunque sea una explicación simplona, te sirva para comprender un poquillo de qué va todo esto
#14 A la explicación de #16, añado que un certificado permite a tu navegador estar seguro de que la web que estás visitando es realmente la que crees estar visitando, porque se identifica con un certificado que está avalado o ha sido emitido por una entidad certificadora de confianza (en este caso Let's Encrypt).
#18 Hoy en día, y especialmente con let's encrypt, cualquiera puede obtener un certificado con un nombre completamente falso.
Lo que puede hacer la entidad certificadora es revocarlo a la primera señal de fraude, por lo que sería más fácil detectar webs fraudulentas.
Existen certificados de mayor nivel de seguridad que realmente certifican lo que dices, y habitualmente cuestan bastante más. Son los que usan por ejemplo los bancos, que no muestran solo el candado en la barra de direcciones, sino que muestran más información (el nombre del banco), la barra de direcciones se pone verde, etc...
#36 Un certificado certifica que el dominio que accedes es realmente el que crees estar accediendo. Y punto.
Por supuesto con el dinero suficiente puedes incluir en el certificado información que diga que eres Emperador del Universo y Alrededores. Pero que haya niveles superiores de certificación de identidad es algo que ya no está directamente relacionado con la tecnología.
#71 hombre, para obtener algunos tipos de certificado, las empresas certificadoras te piden algo más que tu número de tarjeta. A eso me refería más que nada.
Sino los niveles de certificación no tendrían ningún sentido...
#71 de todos modos, tengo que admitir que he malinterpretado tu anterior comentario. Pensaba que estabas diciendo que certificaba la identidad de la entidad o persona que se encontraba detrás del dominio y no el del dominio en sí. De ahí mi respuesta.
#18 Gracias por el aporte.
#16 Dudas de otro que no tiene ni idea del tema con dudas:
Esos certificados gratuitos de Let's Encrypt ¿Son realmente seguros? Es decir, además de ser reconocidos por navegadores y evitar la advertencia ¿Asegura de alguna forma la encriptación de la comunicación? También me pregunto que gana Let's Encrypt con esto ¿O es una entidad sin animo de lucro? Porque me imagino que todo esto tiene al final cierto coste ¿no?
#21 La encriptacion de la informacion esta asegurada incluso con un certificado que te puedes crear tu mismo en tu ordenador. El problema no es la encriptacion de la informacion, si no que el servicio o web al que conectes sea realmente quien dice ser.
Si por ejemplo conectando con tu banco, el navegador te da La tipica advertencia significa que no se puede asegurar que sea de verdad tu banco, podria ser otra pagina web intentando timarte y haciendose pasar por tu banco.
Pero ojo si no salta la advertencia tampoco se puede asegurar mucho, porque cualquiera puede comprar un certificado, das unos datos por ejemplo pepe perez s.l. y cualquier entidad certificadora te vende el certificado al nombre que le digas, las entidades no se van a poner a investigar si quien esta detras de pepe perez s.l. es un timador o no.
#23 Se puede asegurar bastante, nada menos que el dominio que estás visitando.
De hecho con esta iniciativa el nombre que conste en el certificado importa bien poco (porque cualquiera puede poner el que quiera), lo realmente importante es comprobar el dominio que el certificado te asegura que estás visitando.
#72 La gente no se para a comprobar los certificados, simplemente quiere saber que si no le salta la advertencia todo esta bien y es seguro. Y desgraciadamente esto no se puede asegurar, a mucha gente, si su banco es un .es y le cuelas un .com ni se entera, con lo que el certificado ahi no sirve de mucho.
#76 La negligencia del usuario no invalida que la tecnología es segura. Que el usuario es tonto y se traga cualquier cosa lo sabemos todos, pero eso es algo que va a tener que cambiar sí o sí.
#38 #16 lo explica bastante bien, resumiendo: ahora será más barato crear un sitio web seguro (cuyos datos se transmiten de manera cifrada)
#16 ¿Entonces las webs de las administraciones públicas dan esos avisos porque no se quieren gastar 150 euros al año?
#16 buena explicacion
Falta añadir que ahora el viejo truco de "si es https es seguro" se va por tierra. Todas las webs de phishing iran tambien por https
#16 Muchas gracias! Me queda claro.
#44 Yo lo veo al revés, evidentemente si eres un administrador esto puede facilitarte la vida para mantener las conexiones seguras con los servicios que provees, pero yo la relevancia realmente se la veo para el usuario de a pie, somos esos usuarios los que nos vamos a beneficiar de que más sitios implementen certificados para cifrar nuestras conexiones y saber que realmente estamos accediendo al sitio que queremos conectar.
¿de que me puede ayudar o servir esto a mi?
Por qué siempre están promocionando ING??
#7 Es que me pagan una pasta por promocionarlos, sólo tienes que ver el color de mi avatar, soy un vendido
Ojo, que hay que renovarlos cada 90 dias por ahora, aunque se puede automatizar con un cron o similar
#10 Correcto, la validez de los certificados es de 90 días, su máxima meta es que este proceso (creación y renovación) sea automatizado, de ahí que hayan hecho incapié en una validez tan corta.
Evidentemente esto no es plato de gusto para todos, puedes echar un ojo a un par de hilos hablando de este tema... largo y tendido:
https://community.letsencrypt.org/t/maximum-and-minimum-certificate-lifetimes/264/260
https://community.letsencrypt.org/t/pros-and-cons-of-90-day-certificate-lifetimes/4621
Aún no tienen claro si aumentarán esa validez pero por todo lo que he leído, de momento, no están por la labor.
#13 felicitaciones por todos los comentarios sobre este tema. Pero...
#13 no, si lo veo estupendo, y máxime en certificados gratuitos! Si algún día acaban de dilucidar el problema de los Wildcard, a mi me hacen ya un hombre !
#10 La renovación es fácil de automatizar. Tienen muchos tutoriales en su web para que no te tengas que molestar en renovarlo tú mismo.
¿Esto tiene alguna utilidad para las tiendas virtuales? ¿O no tiene que ver?
Me imagino que si, pero a ver si algún gurú me lo aclara
#66 Claro que tiene utilidad y mucha, de hecho si eres poseedor de una tienda virtual ya deberías tener un certificado que cifre las conexiones con los usuarios y valide que tu sitio es el que dice ser. Lo único que ahora ese certificado para ti será gratuito, no tendrás que desembolsar dinero para tener uno.
#66 Muchas tiendas online siguen sin utilizar HTTPS cuando el usuario introduce datos personales a pesar de ser lo recomendado por la AGPD, y lo utilizan sólo para el paso de pago.
Let's Encrypt puede ayudar a que eso cambie, pero las tiendas que ya lo usan no tienen motivo para cambiar a esta plataforma, los pocos euros que vale el certificado y más se lo gastarían en migrar a estos, y luego que también hay varios tipos de certificados.
Yo ya lo use hace casi un mes
Por si alguien le interesa pongo aqui unos scripts para automatizar en Debian https://blog.damia.net/2015/12/automatizacion-de-lets-encrypt-en-debian/
Entonces ya no hay que pagar? qué guay.
#9 Desde luego es una gran noticia. Si los administradores demuestran un mínimo de interés, esta iniciativa puede suponer un "boom" de la seguridad en Internet.
#84 Sí, lo se, soy usuario de StartCom, aunque yo sí pago porque necesito varios certificados wildcard y de momento es la solución más económica que he encontrado. WoSign me pareció muy caro y complejo (supongo que por las diferencias culturales con China).
#85 Creo que hay wildcard más baratos de Comodo en GoGetSSL, aunque hoy ya no merece la pena teniendo Let's Encrypt.
#86 Este no lo conocía y bueno es para tenerlo en cuenta. A mi todavía me merece la pena pagar por un wildcard dado que la infrastructura y mantenimiento que necesitaría para montarlo con Let's Encrypt sería un dolor de cabeza constante. Mi web genera un subdominio por cada nuevo usuario y con el certificado de StartCom ahora es instalarlo y olvidarme durante dos años. La caducidad cada 3 meses y tener que solicitar un certificado para cada usuario no me compensan los 60 dólares de ahorro.
#30 Yo tengo la 5 y va bien.
Acojonante!!!!! Funciona como un cohete
¿Puede alguien explicarnos a los profanos qué tiene de relevante esta noticia?
#38
Que los certificados emitidos por CA soportados por los navegadores suelen ser de pago.
No tiene ninguna relevancia si no eres administrador web
A todos...en Android os funcionan los certificados emitidos por ellos?
#25 Funcionan.
#29 version?
#25 #30 Si queréis ver un listado de los navegadores y sistemas en los que os deberían funcionar los certificados emitidos por Let's Encrypt echadle un ojo a este enlace https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394
En el caso concreto de Android os funcionará siempre y cuando la versión de este sea 2.3.6 o superior.
No lo entiendo.. entonces.. ¿puedo solicitar un certificado para www.facebook.com y hacer un man in the middle a mi vecina?
#51 ¿Está buena?
#51 Cuando facebook te venda su dominio y puedas usarlo entonces si, pero entonces ya no necesitarás un man in the middle.
#51 Por poder puedes solicitarlo pero te lo van a denegar (siento que ese man in the middle o sandwich que le quieres hacer a tu vecina no vaya a poder ser).
Cuando pides los certificados se siguen unos pasos para validar que controlas el dominio para el que pides el certificado.
SSL a estas alturas?
#1 SSL o TLS, a nivel técnico TLS es el nombre de otra versión en cierto modo. Más bien el protocolo HTTP quedaría obsoleto a favor de HTTPS, por lo que a estas alturas sí es un buen momento de regalar un certificado confiable, ya que autofirmados o de una autoridad no confiada siempre han podido ser gratis.
#22 startcom lleva años regalando certificados confiables (con candado verde)
#83 sí, y WoSign también. StartCom te hace pagar para revocarlo, te hace pagar para hacer reissue incluso en caso de debilidad o vulnerabilidad, por lo que no es oro todo lo que reluce. WoSign también ha tenido problemas con las políticas y ha estado a punto de ser eliminado de las listas de certificados raíz.
#1 Que alternativas hay a ssl+tls a día de hoy soportadas por los navegadores?
#37 Depende de para qué quieras el TLS. Pero hay alternativas, por ejemplo Tcpcrypt.
Un pequeño paso para el tacaño, un gran paso para el todo gratis.
Ya vendrán los lloros cuando aparezcan los agujeros de seguridad.
#27 ja, creo que le haces honor a tu nombre
¿ desde hoy ? Desde hace meses
#2 Desde hoy 3 de Diciembre a las 18:00 GMT. Durante la beta cerrada que ha durado un par de meses, sólo podías generar un certificado válido si habías solicitado incluir tus dominios en su lista blanca y te habían mandado una invitación. Como digo, desde hoy cualquiera puede generar un certificado sin necesidad de invitaciones ni nada por el estilo.
#3
El titular no dice eso. Dice gratuito. Ni siquiera la noticia original lo dice, es de tu cosecha.
Y yo generé un certificado gratuito hace meses.