[hm] [OT] Democratización de los certificados ssl

[Antonio Pardo]

Buenas,

El 24/05/10 01:44, Pablo Martin escribió:
> El asunto de los certificados ssl y las excepciones en los navegadores.
> Parece ser (corregidme si me equivoco) que sólo hay un root global
> (incluido por defecto en todos los navegadores principales con lo que
> sus certificados no dan excepción) que de certificados gratis, este root
> es startssl [1]. Por otro lado está cacert [2], que está desarrollando
> un esquema más horizontal para generar certificados, pero de momento no
> son autoridad global (solo están incluidos en debian, creo).
>
> Me ha parecido importante comentarlo porque llevo tiempo sufriendo el
> tema de las excepciones en los servicios que gestiono, supongo que no
> seré el único... pues con esto se acabaron los problemas, con lo que se
> puede extender el uso de ssl (importante para la seguridad y la
> privacidad), así como la facilidad de uso de nuestros servicios al
> evitar las excepciones.

si la base de usuarios del servicio está controlada puedes montarte tu 
propia autoridad de certificación y repartir el certificado raíz entre 
tus usuarios para que no salten las excepciones en los navegadores o 
cualquier cliente que use SSL.

> Por otro lado, hasta hace poco no era posible tener diferentes
> certificados en dominios virtuales de apache debido a ciertos detalles
> del protocolo ssl, también desde hace poco esto ya no es así, en
> concreto en el apache de debian testing ya no es así. Esto es gracias a
> una extensión del protocolo llamada SNI (para quien le interese).

También tiene que soportarlo el navegador. Aquí un poco de info:
http://bit.ly/cgpwLe

Ciao

-- 
Web.- http://apardo.eu/
Tel.- sip:apardo en ekiga.net