[cubacel] Re: Banca movil
- From: "ATS" <dmarc-noreply@xxxxxxxxxxxxx> (Redacted sender "atscubacel" for DMARC)
- To: "cubacel@xxxxxxxxxxxxx" <cubacel@xxxxxxxxxxxxx>
- Date: Thu, 23 Nov 2017 02:02:24 +0000 (UTC)
JJ dijo:
Segundo, el uso ahora de un certificado digital aunque sea michi michi o
sea autofirmado o sea autocreado por ETECSA, autentica ambos extremos o sea
autentica y no deja margen a dudas de que tu eres tu como usuario nauta y de
que el servidor de etecsa es el que es
No JJ, no entendiste bien lo que expliqué. Periquito Perez puede crear un
certificado de CA en su PC, diciendo que su nombre o sea el nombre de la
entidad certificadora es "Empresa de Telecomunicaciones de Cuba", nada se lo
impide.
Luego crea un segundo certificado para webmail.nauta.cu y lo firma con el
primero. Entonces ese certificado dice que el emisor es "Empresa de
Telecomunicaciones de Cuba". Asi que es irrelevante. Lo que realmente
identifica a un certificado es la huella digital (hash), pero eso ningun ser
humano lo puede memorizar.
El SO, por ej windows tiene una lista preinstalada de CA de confianza, entre
los cuales no esta (ni nunca estará) "Empresa de Telecomunicaciones de Cuba",
por lo tanto no sabe cual de los dos dice la verdad.
Asi que mientras ETECSA no utilice certificados emitidos por un CA de
confianza, por ejemplo GeoTrust o VeriSign, sus servicios seguiran siendo
vulnerables a ataques hombre en medio.
Dos posibles soluciones:
1. Utilizar Mozilla Firefox, el cual te da la opcion de añadir una excepcion de
confianza, o sea, guarda el certificado enviado por ETECSA la primera vez y lo
usa para validar futuras conexiones. De esa manera cuando usted acceda
nuevamente a webmail.nauta.cu, Firefox no volvera a notificarle que el sitio es
inseguro. Sin embargo si Periquito Perez hace su jugada, Firefox detectara que
el nuevo certificado no coincide (la huella digital), y te volvera a alertar.
Ahi es cuando sabes que alguien te la esta tratando de colar.
2. La otra opcion es añadir el certificado CA de ETECSA a la lista de
certificados de CA de confianza de windows. O sea es como decirle a Windows que
Empresa de Telecomunicaciones de Cuba es un entidad certificadora de confianza
y por tanto siempre puede confiar en cualquier certificado emitido por ellos.
Yo NO recomiendo hacer eso bajo ningun concepto, por razones obvias.
Recomiendo solamente usar la primera opcion.
Other related posts: