[hm] [OT] Democratización de los certificados ssl

Pablo Martin caedes en sindominio.net
Lun Mayo 24 21:20:01 CEST 2010


On 24/05/10 20:07, blingesagger wrote:
> Pablo Martin wrote:
>> On 24/05/10 12:50, blingesagger wrote:
>>> Pablo Martin wrote:
>>>
> Espero que con esto de la horizontalización o democratización de los
> certificados, podamos establecer conexiones seguras con mucha más
> tranquilidad y mucho más habitualmente.


Más habitualmente, si; con más tranquilidad, no ;-)


>
> Pero ¿para qué necesito que mi página web esté certificada por alguien?


1º Para que no de excepción en el navegador. 2º Alguien la tiene que
certificar, porque tu no quieres que te den el palo con el ssl, y tal y
como funciona, cualquier autoridad en tu anillo (un montón :-P) pueden
crear certificados para cualquier sitio web (teoricamente no lo hacen
claro, pero eso es otra historia :-)). Al final se trata de saber que
estas hablando con elsitioquetuquieres.com sabiendo que no hay nadie en
medio liandola.


>
> Mejor que en todo caso ése certificado lo dé de forma gratuita un
> anillo de confianza, y no una empresa desconocida que además me quiera
> cobrar por ello.


Si, pero el tema es que cacert que es la iniciativa horizontal de
momento no es autoridad global (tal vez este año lo consiga.. no lo se).
Estoy de acuerdo en que lo suyo es apoyar esta iniciativa. Mientras,
startssl por lo menos los da gratis, que ya es algo para ir tirando (a
mi me ha parecido un notición), por lo demás mirandolo un poco parecen
bastante frikis aunque claro nunca se sabe. De todas maneras, esto es
complicado, porque al final el peligro es que alguien con capacidad para
firmar certificados lo haga de forma fraudulenta, y yo al menos me puedo
imaginar casos en los q pudiesen darnos el palo por todos lados... de
todas formas por empezar a usarlo se empieza :), no te has quitado todos
los problemas pero si muchos posibles lios, si quieres estar más a
salvo, empieza a borrar autoridades de tu anillo YA (pero no me borres
startcom jeje) ;-)

De todas formas, lo que comento es mi experiencia, habiendo empezado con
certificados autofirmados piratones, luego mi propia CA (y desde luego
he pensado en que pudiesemos mantener una CA entre más gente). Este
camino nos llevó a que en muchos servicios se nos pidiese http en lugar
de https, ya que era demasiado confuso para la persona que llega de
forma casual al sitio (por las "dichosas" excepciones). Aparte, si bien
en firefox es fácil meter la CA, en chrome es un marrón (practicamente
imposible para el común de los mortales), y en ie o safari no lo se. Así
que de momento tiro con startssl :-P y recomiendo que a quien le
preocupe más allá, se implique en cacert o iniciativas similares.

besitos

 p.


Más información sobre la lista de distribución HackMeeting