El movimiento "encrypt the web" se ha hecho mayor. A principios de este mes, casi la mitad del tráfico de Internet estará protegido por HTTPS. "Nuestro objetivo es una web universalmente encriptada que hace que una herramienta como HTTPS Everywhere sea redundante. Hasta entonces, tenemos trabajo que hacer" (Relacionada lanzamiento-2015-autoridad-certificadora-ca-encriptar-toda-web)
![A medio camino de encriptar toda la web [eng]](https://cdn.mnmstatic.net/cache/29/ca/media_thumb_2x-link-2738714.jpeg?1487774106)
Comentarios
La culpa como siempre es debido al "mercado" y su "autoregulación". Las empresas certificadoras pusieron unos precios abusivos y sólo asumibles por grandes compañías. En muchos casos, tener un certificado válido para tu web implicaba un precio mayor que el propio hosting.
Pero hay que diferenciar entre encriptar y garantizar el origen. Encriptar el tráfico siempre se ha podido hacer de forma gratuita. Es decir, hacer que cuando el usuario envía su login/password no circule en texto plano fácilmente espiable y se vaya al https://
Otra cosa es garantizar que la página web a la que te conectas (https://meneame.net) no sea realmente (http://sitiomalomalote.net). Eso sí requiere que pases por caja porque hace falta un tercero que diga y certifique quien es quien.
Let's encrypt es una organización sin animo de lucro que ha empezado a dar certificados gratuitos y creado una forma fácil de instalarlo en servidores apache o nginx. Incluso hostings como CDMON que siguen vendiendo certificados de empresas
usureras, han tenido que ofrecer para todos sus hosting la opción de añadir certificados gratuitos de Let's encrypt para ser competitivos.Os dejo este tutorial para que con algo de idea podais instalar el certificado gratuito en vuestros sistemas.
https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-16-04
Yo lo tengo en la raspberrypi y no he notado problemas de rendimiento entre el https y el http. Necesitas un dominio propio para que se te genere el certificado.
#4 Plesk 12.5 en adelante ya lo trae "de serie" y se instala en dos clicks lo que lo hace más sencillo aun de desplegar.
#4
La culpa como siempre es debido al "mercado" y su "autoregulación".
Let's encrypt es una organización sin animo de lucro
Let's encrypt sigue siendo una empresa privada con un trato especial por su objetivo social.
#7 no, let's encrypt es una asociación pues no busca el ánimo de lucro. Se financia con donaciones.
#12
Internet Security Research Group (ISRG) is a California public benefit corporation[...] ISRG is proudly sponsored by a diverse group of organizations, from non-profits to Fortune 100 companies.
https://en.wikipedia.org/wiki/Public-benefit_corporation
Public-benefit corporations are a specific type of corporation that allow for public benefit to be a charter purpose in addition to the traditional corporate goal of maximizing profit for shareholders.
#31 Menudo cherrypicking. Te has saltado esta partes:
Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).
https://letsencrypt.org/isrg/
Y del link de la wikipedia:
More broadly, a public-benefit corporation could be any corporation that exists for a charitable purpose, though these are generally called non-profit corporations if they are not founded by a government. Some jurisdictions (the U.S. State of Maine, for instance) might define a public-benefit corporation broadly. In California, public-benefit corporations are one of several types of non-profit corporations.
#67
No, no manipules. Let’s Encrypt pertenece a Internet Security Research Group (ISRG), de la propia wikipedia:
The Internet Security Research Group (ISRG) is a California public-benefit corporation which focuses on Internet security.
Y de ahí
en.wikipedia.org/wiki/Public-benefit_corporation
Public-benefit corporations are a specific type of corporation that allow for public benefit to be a charter purpose in addition to the traditional corporate goal of maximizing profit for shareholders
#69 Letsencrypt es ISRG, o dicho de otra manera ISRG son unas cuantas organizaciones que están detrás de Letsencrypt. Tiene su propio artículo en wikipedia que lo explica y rearfima que es una organización sin ánimo de lucro (la definición que pones de la wikipedia no siempre se cumple y lo dice el mismo artículo en el párrafo que pegué).
Mozilla Corporation, Cisco Systems, Inc., Akamai Technologies, Electronic Frontier Foundation, IdenTrust, Inc., and researchers at the University of Michigan are working through the Internet Security Research Group (“ISRG”), a California public benefit corporation, to deliver this much-needed infrastructure in Q2 2015. The ISRG welcomes other organizations dedicated to the same ideal of ubiquitous, open Internet security.
https://letsencrypt.org/2014/11/18/announcing-lets-encrypt.html
#72 Yo con lo del ánimo de lucro me parto: Las SS no tenían ánimo de lucro.
#4
tener un certificado válido para tu web implicaba un precio mayor que el propio hosting
200-300 pavos al año.
Y hubo una empresa muy simpática. Renovamos los certificados y cerraron al mes.
#21 en el vídeo dicen 0 euros con su iniciativa.
let encrypt cambio la web, al momento de ofrecer gratuitamente su servicio pase https hasta mi web personal entre otros dominios. Además todo facil, sin papeleos ni mierdas, ejecutar, configurar y listo
Magnifica iniciativa.
Por favor: cifrar, y no "encriptar" que significa meter en una cripta...
#9 está ya aceptado
#13 Cierto, no lo sabía, acabo de comprobarlo en la RAE, gracias!
#13 pues qué lástima. Cifrar es más sencillo y más claro, además de más adecuado.
#19 Afortunadamente puedes usar el término que más te guste, que te vamos a entender igual.
#19 también han aceptado "almóndiga", "checar" y el leísmo. Personalmente me considero bastante más purista que ellos.
#13 No creo que se trate de que esté aceptado o no, sino de que, según la etimología, es correcta la forma "encriptar".
http://dle.rae.es/?id=FABu3oz
#34 Yo ya lo doy por perdido, es una lucha vacía, aun así me sigue sonando mal e intentaré no usar "encriptar" en la medida de lo posible, siempre "cifrar"
#34 , ¿por qué habría de ser pedantería?
#32 y supongo que tambien consideras que ser purista es bueno...
#42 , en cuestiones lingüísticas, por supuesto. Tengo todo un argumentario
#80 Me gustaria oirlo, sinceramente.
Desde mi punto de vista, el purismo en lingüística lo considero conservadurismo absurdo. Los lenguajes evolucionan, y eso no es malo. Soy un firme defensor del "lenguaje SMS" en ciertos contextos y un orgulloso leista
#95 ¿Qué es "evolucionar"? ¿Tiene sentido hacer que los idiomas pierdan su unidad de manera diacrónica y diatópica? Si antes los idiomas cambiaban más rápidamente, era porque no teníamos útiles como los que existen hoy y porque la población no estaba escolarizada en su mayoría. Una lengua puede cambiar de manera lógica usando sus propios mecanismos para crear neologismos a la par que mantiene su espíritu y su esencia. A mí todo este rollo de "las lenguas evolucionan" me parece colonialismo disfrazado de progresía. Véase: Defensa apasionada del idioma español, de Álex Grijelmo.
#0 Decía siempre un profe mío que encriptar es meter en una cripta. Se dice cifrar.
Otia #9 un compa
#46 Pero pon el hilo, mamonazo ! -> A medio camino de encriptar toda la web [eng]/c9#c-9 x'D
#9 He entrado solo para ver cuánto tardaban en poner eso, 9 comentarios, nos estamos oxidando.
#9
encriptar Conjugar el verbo encriptar
Del ingl. to encrypt; cf. gr. ἐγκρύπτειν enkrýptein 'ocultar'.
1. tr. cifrar (‖ transcribir con una clave).
#30
El tema de clave asimétrica es que buscar dos número muy gordos primos entre sí y los multiplicas para hacer la clave. El factorizar este número es muy jodido porque es muy grande (varios cientos de dígitos) pero con computación cuántica es asequible. Una vez factorizado (para eso usas la computación cuántica), aplicas el algoritmo al revés y rompes la clave.
Con una clave simétrica y gorda, no puedes decodificar nada salvo que tengas algo de información de lo que hay dentro (por ejemplo, los mensajes de Enigma los rompían buscando coincidencias como la fecha del día o "al obergruppenfuhrer ...." si no sabes lo que hay ... pues puedes decodificar cualquier cosa que salga. Mientras coincida con la longitud del mensaje, puede ser cualquier cosa.
#39 como lo pones tu suena a conspiranoia
bienvenido a la realidad
#50 Pobrecitos, si trabajan de esa manera no están aprendiendo nada...
Y si meten internet en una cripta ¿cómo nos vamos a conectar? ¿por wifi?
#84 http://dle.rae.es/?id=FABu3oz
#90 anglicismo a fin de cuentas aunque sea válido. Lo mismo que remover por quitar
#92 También tiene su origen en el griego. Pero yo lo que te indicaba es que según la rae encriptar NO significa meter en una cripta
#15 No, en tu caso necesitas saber automatizar más el proceso de generación del certificado con LE/CertBot
#41 te doy positivo, pero hay casos de uso en los que los wildcards podrían ser necesarios.
#49 Puede ser, pero por como funciona LE, con control automático de la propiedad del (sub)dominio, los wildcards no se pueden implementar facilmente.
#41 go to #60
No hay que confundir la mitad del trafico web con la mitad de las paginas webs.
Muy optimista. Me gustaria ver el porcentaje de https una vez quitas Google, Facebook, Gmail y Youtube...
#8 Porntube tiene mas que esos
#8 yo cuando veo que las webs de la administración no llevan https me echo a llorar.
O webs de venta de billetes de bus, avión...
#22 Antes de este proyecto, ¿sabes cuánto salía un certificado? Y no me refiero al primero sino a las renovaciones subsiguientes.
#27 ¿A cuánto?
#33 Unos 350€ al año...
Algunos te lo vendían mucho más barato pero cuando lo ibas a renovar te machacaban.
#96 Parece una cifra ridicula para los servicios que te mencionaba #22
#98 En mi empresa por ejemplo teníamos una aplicación de uso interno. Para mayor seguridad pusimos https pero al año les pareció mucho dinero por renovar eso, así que quedó caducado y siguió así hasta que salió este proyecto.
#99 A mi tambien me parece mucho. En fin, hacia una web https. Todo se andará.
#96 El mercado es libre pero 350 es o precio del proveedor más caro, o de certificado EV (en el navegador se distingue porque se pone la barra de direcciones verde).
Hace muchos años que hay certificados DV (validación por dominio) como los de Letsencrypt por 15 € IVA inc. cada renovación, en empresas de confianza de dentro de la UE.
#30 La computación cuántica aplicada a la criptografía simétrica permite reducir el orden de complejidad a O(√n). O dicho de otra manera, reduce la longitud efectiva de la clave a la mitad, por lo que AES-128 se convertiría en AES-64. Por fortuna la solución es tan sencilla como usar claves el doble de largas.
En el caso de la criptografía asimétrica es peor, porque la complejidad creo que pasaría a ser logarítmica, por lo que para recuperar la resistencia de los algoritmos actuales como RSA o ECC las claves tendrían que ser de millones de bits. Por fortuna hace mucho que se están investigando soluciones: https://en.wikipedia.org/wiki/Post-quantum_cryptography
El video divulgativo (1:33) se encuentra al final de la entrada
Más de la mitad podrían cifrarla o encriptarrajearla y tirar a la basura la clave pública sin problema alguno.
Cada vez más gente está pasando sus webs a https. ¿La razón? Que desde que Google actualizó sus criterios de SEO, tener https te permite posicionarte mejor.
#68 Y otras cosas más interesantes a nivel de privacidad:
Chrome obligará a usar HTTPS a páginas con contraseñas
Chrome obligará a usar HTTPS a páginas con contras...
seobadajoz.es#68 La otra razón esque Chrome te marca la web como "No segura" si intentas enviar contraseñas por http.
#87 No, "cualquiera" no.
Primero, tiene que estar en medio de la conexión.
Segundo, tiene que hacerlo antes de que veas el certificado de la web y tu navegador pueda guardarlo para comprobar si cambia en el futuro... ah claro, que los navegadores no hacían eso; pues no es culpa de los certificados.
Tercero, debe mantenerse siempre en medio de la conexión para que nunca veas cambiar el certificado.
En SSH se ha podido hacer desde siempre, y ha demostrado ser un sistema seguro en la inmensa mayoría de los casos. Pero claro, la web es "especial", así que se ha preferido simplificar la experiencia de uso... y de paso cobrar un pastón por los certificados.
Pues si que deben estar avanzados los computadores cuánticos si los de siempre no se les han echado encima...
#2
Si no me confundo, con las claves simétricas no pueden.
Otra cosa es que consigas mantener la clave en secreto.
#14 Er... yo entendía que sí... pero bueno... me apunté a un curso de computación cuántica en coursera y no llegué ni a terminar los vídeos de la primera semana... así que...
Esperemos que tengas razón, porque de otra forma toda la seguridad de internet se va a ir a pastar...
#2 los de siempre (NSA) tienen acceso directo a los servidores de Google, Microsoft, Yahoo, Skype, Apple y Facebook entre otros y les importa tres cojones que el trafico vaya cifrado o en una cripta, pueden acceder a todos los datos, e-mails, fotos y datos en la "nube" por puertas traseras desde hace mucho tiempo (PRISM, etc)
me parece muy bien que el trafico vaya cifrado pero una cosa no quita otra, se sigue violando nuestra privacidad y los EEUU como de costumbre violan los derechos humanos mas basicos. y lo peor de todo es que a pesar de ser una puta verguenza y un escandalo nuestros politicos no hacen NADA por defender nuestros intereses. el escandalo de Snowden ha tenido CERO consecuencias politicas, ni una
#24 La NSA hace muchas cosas (Snowden dixit) pero como lo pones tu suena a conspiranoia
#39 Si, como Rajoy con los catalanes
#24: De hecho yo creo que la encriptación más allá de servicios privados (el banco, el correo electrónico...) es postureo más que otra cosa.
#24 La cosa esta clara, si las empresas que mencionas se comieron un FISA y tuvieron que admitir tener puertas traseras para la NSA, el cifrado es puto postureo
Solucion, no usar sus servicios
https://prism-break.org/en/
Para certificados baratos acabo de descubrir
https://www.gogetssl.com/ggssl/domain-ssl/
Son certificados Comodo
$4 al año
$45 wildcard
Para 3 años salen más baratos
https://www.gogetssl.com/comodo-ssl/comodo-free-ssl/
Certificado Comodo
Gratis, válidos 90 días y renovable indefinidamente
#70 la gran ventaja de let's encrypt es la automatización del proceso. Si fueran de pago seguiría usándolos.
El resto de vendedores o te envía el certificado por e-mail en un zip o tienes que descargarlo de su web, descomprimirlo, ver si no han cambiado el nombre de los ficheros, copiarlos a su ubicación definitiva y encadenar los certificados correctos para que algunos navegadores no se quejen.
#44 Pues no. Para empresa ya están los certificados de pago de RapidSSL desde 10 euros/año
Precisamente LetEncrypt es ideal para webs sin ánimo de lucro. Pero el problema , repito, es depender de un proveedor basado en donaciones.
Si LetsEncrypt acapara el 99% del mercado y dentro de 2 años quiebra, la web dejará de ser segura y dejará de ser operativa. Es un riesgo muy grande para dejarlo en manos de una sóla entidad. StartSSL era una alternativa pero Mozilla y Google la han boicoteado para hacerle sitio a LetsEncrypt y por aquello de que a la NSA le resultará más fácil aceder a la clave privada almacenada en EEUU que en China.
#45 Dado que los certificados no le cuestan nada a LetsEncrypt, es realmente muy muy muy muy difícil que quiebre
#55 Los certificados no, pero hay que mantener un OCSP que reciba millones de solicitudes de comprobación diariamente.
#57 En realidad no tantas, porque LetsEncrypt soporta OCSP stapling, que mueve la mayor parte de la carga a los servidores web: https://en.wikipedia.org/wiki/OCSP_stapling
También reduce bastante la carga el que los certificados solo tengan validez durante 90 días.
#45 no necesariamente, sacarse un nuevo certificado https puede hacerse en menos de un día.
Que mierda
Edit
El problema es que los certificados SSL no son gratuitos. El caso de Letsencrypt es singular y depender de un solo proveedor de certificados gratuitos es muy peligroso. Luego está el problema de los wildcard. Hay webs con muchos subdominios que no admiten Letsencrypt.
#37 A mí parecer, Let's Encrypt sirve perfecto para una pequeña-mediana empresa.
Si ya se vuelve algo importante, no debería ser un problema gastarse 100€/año en un certificado de comodo.
#37 "los certificados SSL no son gratuitos"
Falso, sí que son gratuitos. Cualquiera puede ejecutar openssl y en un par de comandos crearse un certificado sin pagar nada a nadie, y con eso cifrar todo el tráfico de su web con toda la seguridad del mundo.
Lo que no es gratuito es la verificación por parte de terceros, para que salga el dibujito del candado o la barra verde en el navegador... lo cual no afecta para nada al cifrado en sí.
#54 Claro, no afecta al cifrado, sólo afecta a la confianza. De hecho los malware pueden venir con todos los certificados del mundo, y no por ello ser de confianza.
#58 Pues sí, pero en cuanto a "cifrar la web" para prevenir la intercepción y/o modificación de las comunicaciones, sirve igualmente, y se podía haber hecho desde hace mucho tiempo.
#54 en realidad sí. Para evitar el man-in-the-middle.
Cualquiera puede crear su certificado y hacerse pasar por tu web, de ese modo puede conseguir toda la información que quiera. Tu cifrado no te ha valido para nada.
Por eso se exige que los certificados estén firmados por alguien de confianza.
Todo será Deep Web.
#20 pero tiene sentido pagar 158 euros sólo por encriptar? Esa es la cuestión
#23 158 euros? Let's encrypt es gratuito.
#38 síiiiii, pero si quieres un wildcard, let's encrypt no lo soporta
https://en.wikipedia.org/wiki/Wildcard_certificate
#56 ya ya, pero esque la mayoría de sitios web no requiere de wildcards, a eso quiero llegar.
Pagar 158 euros al año por un certificado wildcard no me parece caro. Los he visto por 500€/año
Una duda crucial. ¿Qué gana Let's encrypt con todo esto?. Algo deben de ganar y sin saberlo, no veo seguro utilizarlo. Una empresa que "regala" cosas, se lleva algo a cambio SIEMPRE, es decir, aquí nadie regala nada. Los certificados SSL tienen un coste y estos señores los "regalan". No me cuadra.
#48 Letsencrypt no son los primeros en dar certificados gratis, son los primeros en hacerlo muy bien haciéndolos fácil de instalar y automatizar todo el proceso. El mercado no se acaba, hay algunas empresas como por ejemplo bancos que necesitan otro tipo de certificados (EV, que cuestan una pasta) y otros que no se quieren preocupar de estar pendientes de la renovación cada 3 meses (porque no lo puedan automatizar) y paguen 10-15 € a su provedor de hosting por un certificado.
Yo me hago otra pregunta: ¿qué dejan y dejamos de perder con un internet más seguro donde todas las tiendas online, servicios públicos y demás usan TLS ? Ahora mismo si quieres poner una reclamación a través de la web de Renfe va sin cifrar por lo que si usas una conexión insegura (por ejemplo si no has cambiado la clave wifi que venía por defecto) puede haber alguien que haga mal uso de tus datos personales, y algunas compañías eléctricas peor aun, para dar de alta te piden una copia del DNI a través de un formulario HTTP sin cifrar (y con una fotocopia del DNI se pueden hacer demasiadas cosas).
#48 Se financia por donaciones. En su pagina web puedes ver la lista de sponsors, que incluye a Google.
Esta organización nace de la presión que está ejerciendo Chrome y Firefox para poner https en la web. Los certificados no tienen coste pues ellos mismos son una entidad certificadora.
#15 ¿Y no puedes resolverlo con distintos paths en lugar de distintos nombres? Si no puedes modificar la aplicación puedes hacer un rewrite.
#29 ¿Te refieres a una redireccion? Bajo https no cuela, el subdominio que origina la dirección tiene que estar certificado también.
#43 En lugar de https : / / pepito.midominio.com puedes usar http : / / pepito.midominio.com que redirija a https : / / midominio.com/pepito. Así todos los https son de un solo dominio y puedes seguir usando dominios múltiples si quieres. Porque la otra manera es ir directo a https : / / midominio.com/pepito.
#97 pero sacrificas seguridad, ademas es incompatible con hsts
#29 No, necesito codificar muchas direcciones IP y asignarle un subdominio a cada uno. Además puedo tener más de 100 IP's (límite de let's encrypt para subdominios, si no recuerdo mal).
Sin llegar al límite podría crear un certificado con muchos subdominios y actualizarlo cada vez que añadiese uno nuevo con let's encrypt. Pero es mucho más cómodo definir *.example.com y a correr.
La cuestión es, como digo, si sólo quiero encriptar, ¿por qué hay que pagar? Se han montado ahí un negociete los de los certificados que es muy jugoso.
#60 pues porque el proceso para ser una entidad certificadora es muy riguroso y se crea un nicho de oferta muy pequeño. Por suerte eso se está invirtiendo poco a poco conforme van entrando más y más competidores.
No ha habido mas remedio que tirar por ese camino, a mí no se me ocurre otra forma de haber implementado https.
#60 las direcciones IP con los certificados dan exactamente igual, los certificado son sobre los FQDNs, no las IPs.
Sacado de https://letsencrypt.org/docs/rate-limits/
The main limit is Certificates per Registered Domain (20 per week). A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar. For instance, in the name www.example.com, the registered domain is example.com. In new.blog.example.co.uk, the registered domain is example.co.uk. We use the Public Suffix List to calculate the registered domain.
If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 2,000 unique subdomains per week. A certificate with multiple names is often called a SAN certificate, or sometimes a UCC certificate.
Básicamente puedes tener 2000 nuevos subdominios por semana (en packs de 100 subdominio * 20 certficados / semana). Si tienes más de esto (nuevos cada semana, no totales agregados), creo que trabajas en un sitio bastante grande como para poder hablar por algún otro canal con LetsEncrypt y llegar a una solución.
Si en un principio no se hubieran abusado con los precios de los certificados, todo el tráfico habría sido siempre cifrado.
#25 Hoy no tendríamos Ubuntu. Recordemos que Mark Shuttleworth fundó Thawte, que vendió por una millonada a VeriSign, y con eso fundó Canonincal. Todo gracias a los precios desorbitados que la gente estaba dispuesta a pagar por los certificados.
Acabo de acordarme de kriptopolis, web que hace eones no visito. Ellos tenían una batalla medio perdida con la palabra "Encriptar" que más o menos significa "meter a alguien en una cripta" y en español se utiliza la palabra "cifrar" que es la autentica traducción del verbo ingles "encrypt".
Por cierto, tan medio perdida tienen la batalla que hasta google translate traduce mal esa palabra.
Cuando algo se hace popular es muy difícil cambiarlo, es como cuando la gente dice "Marketing" cuando en realidad quieren decir "Mercadotecnia". O como cuando dicen "Hacker" cuando en realidad quieren decir "intruso informático".
El día que let's encrypt permita wildcard hablamos.
#6 Te creas un certificado para cada subdominio y configuras las redirecciones pertinentes a nivel de servidor web. Yo lo he hecho y no me ha salido una hernia.
#10 en mi caso necesito el wildcard. No sólo unos cuantos subdominios
#6 bueno esque la inmensa mayoría de sitios webs no requiere de wildcards. Basta con un certificado para los 3-5 subdominios que puedan tener.
#6 No permite wildcards pero sí permite certificados múltiples. Puedes pedir un ceritificado que incluya todos los nombres que manejas.
#28 eso no sirve si los subdominios se generan dinamicamente. En blogspost se creaba un subdominio cada vez que se abría un blog, de modo que podías adceder así:
blogdepepito.blogspot.com
Es verdad que son solo una minoría los que necesitan algo así, pero es algo a tener en cuenta.
¡Hasta el pr0n! Fijáos en xvideos.com, siempre punteros... me lo dijo un amigo
#52 Instructions unclear, penis stuck in hand.
#52 pero siguen usando flash.