[hm] [OT] Democratización de los certificados ssl

Pablo Martin caedes en sindominio.net
Lun Mayo 24 01:44:01 CEST 2010


Aupa!

Resultados de mis investigaciones sobre los certificados ssl... creo que
es importante para admins de cualquier servicio.

El asunto de los certificados ssl y las excepciones en los navegadores.
Parece ser (corregidme si me equivoco) que sólo hay un root global
(incluido por defecto en todos los navegadores principales con lo que
sus certificados no dan excepción) que de certificados gratis, este root
es startssl [1]. Por otro lado está cacert [2], que está desarrollando
un esquema más horizontal para generar certificados, pero de momento no
son autoridad global (solo están incluidos en debian, creo).

Me ha parecido importante comentarlo porque llevo tiempo sufriendo el
tema de las excepciones en los servicios que gestiono, supongo que no
seré el único... pues con esto se acabaron los problemas, con lo que se
puede extender el uso de ssl (importante para la seguridad y la
privacidad), así como la facilidad de uso de nuestros servicios al
evitar las excepciones.

Por otro lado, hasta hace poco no era posible tener diferentes
certificados en dominios virtuales de apache debido a ciertos detalles
del protocolo ssl, también desde hace poco esto ya no es así, en
concreto en el apache de debian testing ya no es así. Esto es gracias a
una extensión del protocolo llamada SNI (para quien le interese).

Algunos detalles de seguridad: si una página tiene algún acceso http
(como gmail o facebook) es extremadamente sencillo para un atacante
modificar el contenido de dicha página para que el post del login se
realice por http en lugar de https, con lo cual no estamos a salvo de
robos de contraseña (en realidad se podría evitar haciendo que el
formulario de login aparezca solamente por https, pero la mayor parte de
los servicios tienen el formulario sobre http en la página principal).
El atacante puede ser alguien que controle el firewall, o alguien que
pueda hacernos creer que es el router local envenenando las tablas arp,
o podría ser un atacante "global" (que controle la red externa). En la
mayor parte de los casos, si el servicio se come el login por http (como
gmail), ni siquiera nos daremos cuenta de que hemos sido victimas de un
ataque.

Detalles de privacidad: Creo que no hace falta comentarlos ;)

besitos y feliz https

 p.

[1] www.startssl.com
[2] www.cacert.org


Más información sobre la lista de distribución HackMeeting