Cuáles son los criterios para determinar si una CA es de confianza o no?
Tanto a nivel personal, subjetivo y objetivo, así como a nivel
institucional y de gobierno.
Alguien sabe las CA que usan en el día a día, saben las fechas de
revocación de los certificados, saben los procedimientos que se siguen para
emitir los certificados?
Si alguien piensa que se está intentando suplantar un sitio solo tienen
ver el certificado y quién lo emitió.
O sea no puede ser que el emisor del certificado de facebook.com/* sea
xetid y tampoco que el emisor del certificado de gobiernodecuba.cu/* sea
pepeelcojo.
Así de complicado es saber si se suplanta o no un sistema.
Saludos.
El mié., 10 de julio de 2019 7:36 p. m., Yurguis <yurguis@xxxxxxxxx>
escribió:
Se puede entender que se utilice un certificado no firmado por una CA
reconocida. Se puede entender que indiquen como hacer en el navegador para
proseguir aún con este certificado. Lo que no puede entenderse es que la
solución que se dé es agregar un CA que no es de confianza como si lo
fuera, ahí me parece que hay mala intención y mi criterio es que quien lo
justifique, o es ignorante o le conviene, no veo otra opción.
On Wed, Jul 10, 2019, 5:49 PM Jorge <isildurmac@xxxxxxxxx> wrote:
JJ será que me perdí entre la verborrea de twits y mensajes que me han
llegado por correo y por telegram. Mis disculpas ;-)
Esa explicación la puedes obtener en YouTube a un clic y en cualquier
página en internet sobre este tema. Menos blablabla y más estudio hombre.
Lo interesante es que aunque tú digas que no vas a aceptar confiar
ciegamente en el certificado raíz si aceptas de todas formas entrar en la
página ya el tráfico está siendo generado y encaminado. Por eso el
mensajito en el navegador sugiriendote que no entres.
Ah yo trabajé en un sistema gestor de una CA, no raíz claro. Y luego en
otro que tenía que validar muy a detalle cadenas de certificados para
evitar estas cosas.
Se habla de CA raíz y de confianza pues tú delegadas la confianza en
ella. Si no confías no entras y listo. Nadie te pone una pistola en la
cabeza.
Ahora digamos que alguien cuela en el listado de CA de Firefox, Chrome o
similar, una CA de un gobierno o grupo de tarea X, y que ese grupo hace lo
mismo que se comentó antes. Tú no te enteras pues accedes normal al sistema
gracias a algún mecanismo de redirección y se está capturando todo tu
tráfico en texto plano. Eso lo puede hacer cualquier gobierno medianamente
preparado. Y lo que hacen los gobiernos para evitar esto es tener sus
propias CA en sus sistemas de misión crítica, gubernamentales, etc..
Ejemplo el país X mete un certificado de una CA en Chrome genera un
certificado gobiernodecuba.cu, se baila las tablas de enrutamiento y ya
tú sabes por dónde pasa todo el tráfico del gobierno.
Pero vayamos un poco más allá. Tú confías en Google y Amazon y hablas con
sus dispositivos, dándole órdenes y hablando normal en tu casa, y resulta
que gracias a esa confianza todo lo que hablas está siendo almacenado y
escuchado por quien sabe.
Pero incluso si vamos un poco más allá, aquellos países grandes
enrutadores del tráfico de internet a nivel mundial tienen o pueden tener
acceso a ese tráfico y la única forma de enterarse es luego de meses de
análisis para saber que hubo un retardo no natural de algunos milisegundos
en la paquetería intercambiada...creo que China se lo hizo a usa hace poco
y le estaban protestando, lo de siempre, yo si pero tú no.
En estos temas prefiero confiar en mí país. Si no fuera así ya estuviera
en otro.
Saludos.
El mié., 10 de julio de 2019 4:30 p. m., Juan J. Fernandez <
juanjfdez@xxxxxxxxxx> escribió:
Perfecto muchísimas gracias ATS yo y espero otros hayan entendido las
implicaciones de todo esto. Solo diré que es muy curioso Jorge simplemente
dijo que ha trabajado en estas cosas pero ni remotamente dio una
explicación de este tipo.
Liying by omission sin decir mentiras le llamamos en spanglish, ahora
déjame ver como Quito el certificado de xetid pues creo una vez escoji la
opción de confiar en el jejeje. Esto me recuerda al bateo del FBI y Apple
que quería que le entregara o le diera acceso al dispositivo Apple de un
criminal jehehehe. De hecho a pesar son caras por esa misma razón me
comprare ahora un MacBook PRO de segunda mano o recertificado que veo están
vendiendo en 600 CAD pues en el viaje del mapeo en tren quiero dejar el S8
para el mapeo solamente mientras escribo los tuits en el laptop via WiFi
del tren (sospecho que los AP son Cisco seguramente !, si los veo les
tiraré fotos.). Además hace años ya que regalé mi laptop así que ya me va
haciendo falta uno.
Claro si su nombre es Ernesto y es de los que va callado en este mundo
entonces no entendería porque es importante todo esto imagino hasta el día
que no se calle más y precisamente hable para oponerse a xetid y sus
compinches y ahí Vera el porque de todas estas cosas entonces !!!.
Solo queda esperar a ver que nueva mentira dicen en la mesa redonda esta
noche o más tarde en el noticiero !!!, jejeje. Porque eso es lo único
cierto y con certeza suceda en Cuba señores!!!? jejeje
