[cubacel] Re: Banca movil

  • From: "ATS" <dmarc-noreply@xxxxxxxxxxxxx> (Redacted sender "atscubacel" for DMARC)
  • To: "cubacel@xxxxxxxxxxxxx" <cubacel@xxxxxxxxxxxxx>
  • Date: Thu, 23 Nov 2017 02:02:24 +0000 (UTC)

JJ dijo:

Segundo, el uso ahora de un certificado digital aunque sea michi michi o
sea autofirmado o sea autocreado por ETECSA, autentica ambos extremos o sea
autentica y no deja margen a dudas de que tu eres tu como usuario nauta y de
que el servidor de etecsa es el que es

No JJ, no entendiste bien lo que expliqué. Periquito Perez puede crear un 
certificado de CA en su PC, diciendo que su nombre o sea el nombre de la 
entidad certificadora es "Empresa de Telecomunicaciones de Cuba", nada se lo 
impide.

Luego crea un segundo certificado para webmail.nauta.cu y lo firma con el 
primero. Entonces ese certificado dice que el emisor es "Empresa de 
Telecomunicaciones de Cuba". Asi que es irrelevante. Lo que realmente 
identifica a un certificado es la huella digital (hash), pero eso ningun ser 
humano lo puede memorizar.


El SO, por ej windows tiene una lista preinstalada de CA de confianza, entre 
los cuales no esta (ni nunca estará) "Empresa de Telecomunicaciones de Cuba", 
por lo tanto no sabe cual de los dos dice la verdad.

Asi que mientras ETECSA no utilice certificados emitidos por un CA de 
confianza, por ejemplo GeoTrust o VeriSign, sus servicios seguiran siendo 
vulnerables a ataques hombre en medio.

Dos posibles soluciones:

1. Utilizar Mozilla Firefox, el cual te da la opcion de añadir una excepcion de 
confianza, o sea, guarda el certificado enviado por ETECSA la primera vez y lo 
usa para validar futuras conexiones. De esa manera cuando usted acceda 
nuevamente a webmail.nauta.cu, Firefox no volvera a notificarle que el sitio es 
inseguro. Sin embargo si Periquito Perez hace su jugada, Firefox detectara que 
el nuevo certificado no coincide (la huella digital), y te volvera a alertar. 
Ahi es cuando sabes que alguien te la esta tratando de colar.

2. La otra opcion es añadir el certificado CA de ETECSA a la lista de 
certificados de CA de confianza de windows. O sea es como decirle a Windows que 
Empresa de Telecomunicaciones de Cuba es un entidad certificadora de confianza 
y por tanto siempre puede confiar en cualquier certificado emitido por ellos. 
Yo NO recomiendo hacer eso bajo ningun concepto, por razones obvias.


Recomiendo solamente usar la primera opcion.

Other related posts:

  1. Home
  2. cubacel
  3. Archive
  4. 11-2017