Desde Google Search console están enviando emails a dueños de páginas web en los que avisan de que a partir de la próxima versión de Chrome (56) las páginas que recopilen contraseñas y no usen el protocolo de seguridad https mostrarán un claro aviso de página insegura. Esto afecta a la mayoría de webs ya que Wordpress y la mayoría de CMS tienen un sistema de usuarios incluido. En pocos días habrá miles de migraciones al protocolo.
#5 Cuando compras un certificado no estas comprando una tira de bits que poner en tu sitio web. EStas comprando el que "alguien reconocible" asegura que lo que hay detras de tu certificado es de tu organizacion, es la web que dice ser. Un "notario" por asi decirlo. EStas comprando un protocolo mas o menos serio de emision de ese certificado, de entrega por vias seguras, de un mantenimiento seguro
Hay una serie de estandares qeu cumplir y auditorías para ser considerado una entidad certificadora "seria". Una vez superadas las auditorías bajo esos estandares, los navegadores incluyen de serie (bajo peticion) una CA en su lista de CAs de confianza.
#17 Correcto. Solo un detalle, ese "bajo petición", suele ir acompañado de un acuerdo de cientos de millones de dolares para que los navegadores acepten su inclusión en la susodicha lista CA de confianza. O eso dicen los mentideros. Al final no dejan de ser un notario digital, y dudo mucho que las condiciones sean tan leoninas como para que no hubiese cientos de certificadores. Pero, fijate como son las cosas, que solo tres se reparten el pastel. Sospechoso un rato.
#6 LetsEncrypt no es aceptado en muchos hostings, asi que si tienes "shared" estas jodido.
#20 lo de "cientos de millones" no es cierto. yo he trabajado para una entidad certificadora española en el proceso de pasar la auditoría en el sistema de seguridad que se exigía, una vez pasadas la auditoría, solicitó y fue incluida en la lista de CAs de Internet Explorer.
Lo que si cuesta (aunque no milones) es una consultoría y los cambios internos para cumplir los requisitos de seguridad
#21 Ay amiguito de dios...
Estos cientos de millones que pagan las certificadoras SSL para que Chrome acepte a la susodicha en su lista de CA confiables...¿crees que aparecen en el balance contable?. ¿Crees que el 3% de los Puyol aparecian en sus cuentas anuales? Eso es, al menos, lo que te responderan los mentideros.
¿Te has preguntado alguna vez de que vivían o viven algunos navegadores?¿De donde sacan pasta?Ahora Chrome de tus datos, ¿y el resto?¿Y antes de que Chrome existiese?
#22 pues te repito, que por experiencia directa de un trabajo en una CA de españa, no ha habido cientos de millones ni nada parecido para aparecer en la lista de certificados de IE. ojo, conozco como se hizo la solicitud a microsoft, no el resto (firefox, chrome, opera,..)
#23 Es decir, que tú desde tu puesto aseguras que en ningun momento nadie pasó un sobre baJo la mesa a los navegadores para que fuese aceptada en su lista. Pues o bien no se pasó bajo la mesa nada, o bien sí que lo hicieron y no te enteraste porque no se hace voxpopuli.
Aunque por lo visto sí que ha habido quejas al respecto, algunos se han quejado de lo que han tardado en incluirse en la lista de cerrificados confiables, otros que para acelerar el proceso han tenido que pasar por caja, otros que con la auditoria y tal hecha siguen esperando.
Por otra parte los mentideros mentideros son, y me alegro conocer una opinion contraria.
#1 A ver si me he enterado, ¿no te gusta la medida de que se obligue a usar HTTPS en páginas con contraseña porque te gusta que cualquiera pueda obtener tu contraseña?
Osea, quieres que la gente sepa tu contraseña, para que si se te olvida le puedas pedir a la gente que te la ha robado que te la recuerde o algo asi. ¿No?
#2 Yo creo que es un paso inevitable, el pasar a protocolo https todo. De hecho los hosting ya deberían obligar a tenerlo en https puesto que no supone ningún perjuicio y es gratis para los certificados más comunes.
#12 Si haberlos haylos, pero no son todos y hay gente con planes que duran años. Además que hay gente con limitados conocimientos con una web para los que migrar a otro hosting puede ser un puto infierno.
La iniciativa de letsencrypt es fantástica, pero creo que aun no estamos listos para forzar SSL (aunque igual Chrome hace que el mundo se ponga las pilas).
#13 Te entiendo perfectamente, pero al menos ahora tenemos una alternativa gratuita. Yo sí creo que estamos listos para forzar el cifrado y google ya te penaliza si no la tienes en https.
#2 A mi lo que me toca la moral es que para poder tener https tienes que tener un certificado SSL que cuesta un pastizal porque el chiringuito de vendedores de certificados son 3. Y te lo cobran a huevo de oro. Hay otras empresas, tambien serias, que te venden el certificado por 100€ al año pero oh-curioso los navegadores web "no confían" en dichas empresas y te siguen mostrando el cartelito de que la web es insegura.
Se dice, se cuenta, se comenta, pero todo es mentira ehhh....que las empresas que crean navegadores web tienen acuerdos con estas 3 empresas certificadoras("por la seguridad del respetable y blabla") de cientos de millones de dolares.
Este movimiento de Chrome, sería, eso dicen los mentideros, una estrategia para aumentar el volumen de negocio de las empresas certificadoras y, por supuesto, de ellos mismos.
Por otro lado, un certificado no es mas que demostrar que tú te llamas realmente Pepito Jimenez(te piden una serie de datos personales y/o mercantiles), si Chrome quiere imponer dicha medida lo que debería hacer es lanzar un método para que podamos crear un certificado por 4 perras.
Si hay empresas que no funcionan bajo HTTPS, sobre todo startups, es porque no se pueden permitir(en sus comienzos) pagar un certificado SSL.
Ojo, no os dejeis timar por el SSL de 5,95€ (que no sirve para nada), los certificados rondan los 300€/año.
Bastante más seguro, que entrar en una página rusa y que te diga HTTPS y luego te ponga autocertificado. Es como el autor que valora su obra de arte, sólo por el hecho de crearla él. Quién tiene que valorar si cueta lo que dices es quien te la quiera comprar no tú. Por eso decir que una página es segura por estar auto-certificada, es una tomadura de pelo. Si eres un cracker puedes decir que está autocertificado cuando en realidad estás haciendo un ataque Man In The Middle o esnifando todos los datos.
Hay que diferenciar dos cosas, información cifrada y certificación de autoría. Simplemente cifrando el tráfico ya se daría un paso de gigante. Otro tema es de las autorías. El tráfico se puede encriptar sin necesidad de pagar ninguna entidad certificadora.
Comentarios
#5 Cuando compras un certificado no estas comprando una tira de bits que poner en tu sitio web. EStas comprando el que "alguien reconocible" asegura que lo que hay detras de tu certificado es de tu organizacion, es la web que dice ser. Un "notario" por asi decirlo. EStas comprando un protocolo mas o menos serio de emision de ese certificado, de entrega por vias seguras, de un mantenimiento seguro
Hay una serie de estandares qeu cumplir y auditorías para ser considerado una entidad certificadora "seria". Una vez superadas las auditorías bajo esos estandares, los navegadores incluyen de serie (bajo peticion) una CA en su lista de CAs de confianza.
#17 Correcto. Solo un detalle, ese "bajo petición", suele ir acompañado de un acuerdo de cientos de millones de dolares para que los navegadores acepten su inclusión en la susodicha lista CA de confianza. O eso dicen los mentideros. Al final no dejan de ser un notario digital, y dudo mucho que las condiciones sean tan leoninas como para que no hubiese cientos de certificadores. Pero, fijate como son las cosas, que solo tres se reparten el pastel. Sospechoso un rato.
#6 LetsEncrypt no es aceptado en muchos hostings, asi que si tienes "shared" estas jodido.
#20 lo de "cientos de millones" no es cierto. yo he trabajado para una entidad certificadora española en el proceso de pasar la auditoría en el sistema de seguridad que se exigía, una vez pasadas la auditoría, solicitó y fue incluida en la lista de CAs de Internet Explorer.
Lo que si cuesta (aunque no milones) es una consultoría y los cambios internos para cumplir los requisitos de seguridad
#21 Ay amiguito de dios...
Estos cientos de millones que pagan las certificadoras SSL para que Chrome acepte a la susodicha en su lista de CA confiables...¿crees que aparecen en el balance contable?. ¿Crees que el 3% de los Puyol aparecian en sus cuentas anuales? Eso es, al menos, lo que te responderan los mentideros.
¿Te has preguntado alguna vez de que vivían o viven algunos navegadores?¿De donde sacan pasta?Ahora Chrome de tus datos, ¿y el resto?¿Y antes de que Chrome existiese?
#22 pues te repito, que por experiencia directa de un trabajo en una CA de españa, no ha habido cientos de millones ni nada parecido para aparecer en la lista de certificados de IE. ojo, conozco como se hizo la solicitud a microsoft, no el resto (firefox, chrome, opera,..)
#23 Es decir, que tú desde tu puesto aseguras que en ningun momento nadie pasó un sobre baJo la mesa a los navegadores para que fuese aceptada en su lista. Pues o bien no se pasó bajo la mesa nada, o bien sí que lo hicieron y no te enteraste porque no se hace voxpopuli.
Aunque por lo visto sí que ha habido quejas al respecto, algunos se han quejado de lo que han tardado en incluirse en la lista de cerrificados confiables, otros que para acelerar el proceso han tenido que pasar por caja, otros que con la auditoria y tal hecha siguen esperando.
Por otra parte los mentideros mentideros son, y me alegro conocer una opinion contraria.
#23 al hilo..... un ejemplo de como funcionan estas cosas
https://olea.org/diario/2017/01/26/FNMT-brindis-por-Ceres.html
Por ahora no afectara a mi web. No tiene login.
Boicot a Chrome!!!
#1 A ver si me he enterado, ¿no te gusta la medida de que se obligue a usar HTTPS en páginas con contraseña porque te gusta que cualquiera pueda obtener tu contraseña?
Osea, quieres que la gente sepa tu contraseña, para que si se te olvida le puedas pedir a la gente que te la ha robado que te la recuerde o algo asi. ¿No?
#2 Yo creo que es un paso inevitable, el pasar a protocolo https todo. De hecho los hosting ya deberían obligar a tenerlo en https puesto que no supone ningún perjuicio y es gratis para los certificados más comunes.
#3 ¿Certificados SSL gratis?
#6 https://letsencrypt.org/ Ya son gratis. Sólo necesitas tener un dominio.
#8 Un dominio y un hosting que te deje utilizar los certificados de letsencrypt sin pasar por caja para usar los que te ofrecen ellos.
#11 DigitalOcean como servidor virtual (10$ mensuales) y CDMON (esta gente son buenísimos), pero no sé CDMON a partir de que paquete lo permiten.
#12 Si haberlos haylos, pero no son todos y hay gente con planes que duran años. Además que hay gente con limitados conocimientos con una web para los que migrar a otro hosting puede ser un puto infierno.
La iniciativa de letsencrypt es fantástica, pero creo que aun no estamos listos para forzar SSL (aunque igual Chrome hace que el mundo se ponga las pilas).
#13 Te entiendo perfectamente, pero al menos ahora tenemos una alternativa gratuita. Yo sí creo que estamos listos para forzar el cifrado y google ya te penaliza si no la tienes en https.
#11 Ahora también puedes tener un dominio gratis http://www.dot.cf/en/index.html?lang=en
#2 A mi lo que me toca la moral es que para poder tener https tienes que tener un certificado SSL que cuesta un pastizal porque el chiringuito de vendedores de certificados son 3. Y te lo cobran a huevo de oro. Hay otras empresas, tambien serias, que te venden el certificado por 100€ al año pero oh-curioso los navegadores web "no confían" en dichas empresas y te siguen mostrando el cartelito de que la web es insegura.
Se dice, se cuenta, se comenta, pero todo es mentira ehhh....que las empresas que crean navegadores web tienen acuerdos con estas 3 empresas certificadoras("por la seguridad del respetable y blabla") de cientos de millones de dolares.
Este movimiento de Chrome, sería, eso dicen los mentideros, una estrategia para aumentar el volumen de negocio de las empresas certificadoras y, por supuesto, de ellos mismos.
Por otro lado, un certificado no es mas que demostrar que tú te llamas realmente Pepito Jimenez(te piden una serie de datos personales y/o mercantiles), si Chrome quiere imponer dicha medida lo que debería hacer es lanzar un método para que podamos crear un certificado por 4 perras.
Si hay empresas que no funcionan bajo HTTPS, sobre todo startups, es porque no se pueden permitir(en sus comienzos) pagar un certificado SSL.
Ojo, no os dejeis timar por el SSL de 5,95€ (que no sirve para nada), los certificados rondan los 300€/año.
#2 Sí!
Bastante más seguro, que entrar en una página rusa y que te diga HTTPS y luego te ponga autocertificado. Es como el autor que valora su obra de arte, sólo por el hecho de crearla él. Quién tiene que valorar si cueta lo que dices es quien te la quiera comprar no tú. Por eso decir que una página es segura por estar auto-certificada, es una tomadura de pelo. Si eres un cracker puedes decir que está autocertificado cuando en realidad estás haciendo un ataque Man In The Middle o esnifando todos los datos.
Salu2
¿Google nos va a regalar los certificados? Porque eso es lo que tiene que hacer Google... convertirse en empresa certificadora.
Que avisen de alguna forma que no se van ha mandar de forma segura, pero lo de prohibir ya les vale.
Por suerte no suelo usar Chrome
Yo tengo mi web en https://letsencrypt.org/ y sólo me ha costado los 20$ que doné.
Hay que diferenciar dos cosas, información cifrada y certificación de autoría. Simplemente cifrando el tráfico ya se daría un paso de gigante. Otro tema es de las autorías. El tráfico se puede encriptar sin necesidad de pagar ninguna entidad certificadora.
Ale, la manada a por el https