Una pregunta sencilla: sabes cómo se realiza y por quién se realiza esto
hoy en cuba o si especulas? Y sabes quiénes lo realizan en el mundo? Veo
mucha especulacion.
Las leyes y normativas deben existir para definir eso mismo. Así que si son
importantes.
Saludos.
El mié., 10 de julio de 2019 11:13 p. m., Yurguis <yurguis@xxxxxxxxx>
escribió:
El problema no es definir leyes, el problema es que que tiene que haber
transparencia en el proceso, la entidad certificadora no puede ser la misma
que audita el proceso y verifique los certificados otorgados, etc. Quien se
encarga de verificar que no se utilice este certificado raíz para generar
un certificado para google.com por ejemplo?
Parece algo sencillo pero es bien importante, porque de ello depende la
seguridad del 100% de los que utilizan el servicio y no todo el mundo tiene
que saber lo que es un certificado ni como revisarlo.
Es colonos el que venda un carro lo vende como quiera pensando en que
después el que sepa lo tiene que arreglar, para eso están las normas, etc.
Si no se cumplen pues entonces no se puede vender el carro. No se si me
hago entender con esta analogia.
Además, el hecho de que para usted sea correcto no significa que lo sea
para el 90% que desconoce de este tema.
En fin, ya veremos como termina, de todas maneras yo si no voy a utilizar
un servicio con esas condiciones y si lo tengo que hacer ya tomaré mis
precauciones.
On Wed, Jul 10, 2019, 10:15 PM Jorge <isildurmac@xxxxxxxxx> wrote:
Ahí está la confianza de los que saben y se preocupan por estar al tanto
de este tema. Los que no saben cómo funciona ni les interesa pero confían.
Entonces lo que falta en Cuba es normalizar y definir leyes al respecto
que nos protejan y regulen el funcionamiento de la CA.
Según tengo entendido en Cuba hay al menos 3 CA a nivel empresarial.
Ninguna se ha constituido en la oficial a nivel de país.
En la UCI hicieron lo que quieren hacer ahora y definieron procedimientos
y los documentos había que firmarlos y todo lo que eso lleva. Desconozco si
se continuó haciendo así.
Saludos.
El mié., 10 de julio de 2019 9:10 p. m., Yurguis <yurguis@xxxxxxxxx>
escribió:
Existen organizaciones para eso, que además auditan estas entidades
certificadoras.
Hay mucha responsabilidad detrás de los certificados como para que
cualquiera se ponga a estar emitiendolos.
On Wed, Jul 10, 2019, 8:22 PM Jorge <isildurmac@xxxxxxxxx> wrote:
Cuáles son los criterios para determinar si una CA es de confianza o
no? Tanto a nivel personal, subjetivo y objetivo, así como a nivel
institucional y de gobierno.
Alguien sabe las CA que usan en el día a día, saben las fechas de
revocación de los certificados, saben los procedimientos que se siguen para
emitir los certificados?
Si alguien piensa que se está intentando suplantar un sitio solo tienen
ver el certificado y quién lo emitió.
O sea no puede ser que el emisor del certificado de facebook.com/* sea
xetid y tampoco que el emisor del certificado de gobiernodecuba.cu/*
sea pepeelcojo.
Así de complicado es saber si se suplanta o no un sistema.
Saludos.
El mié., 10 de julio de 2019 7:36 p. m., Yurguis <yurguis@xxxxxxxxx>
escribió:
Se puede entender que se utilice un certificado no firmado por una CA
reconocida. Se puede entender que indiquen como hacer en el navegador
para
proseguir aún con este certificado. Lo que no puede entenderse es que la
solución que se dé es agregar un CA que no es de confianza como si lo
fuera, ahí me parece que hay mala intención y mi criterio es que quien lo
justifique, o es ignorante o le conviene, no veo otra opción.
On Wed, Jul 10, 2019, 5:49 PM Jorge <isildurmac@xxxxxxxxx> wrote:
JJ será que me perdí entre la verborrea de twits y mensajes que me
han llegado por correo y por telegram. Mis disculpas ;-)
Esa explicación la puedes obtener en YouTube a un clic y en cualquier
página en internet sobre este tema. Menos blablabla y más estudio hombre.
Lo interesante es que aunque tú digas que no vas a aceptar confiar
ciegamente en el certificado raíz si aceptas de todas formas entrar en la
página ya el tráfico está siendo generado y encaminado. Por eso el
mensajito en el navegador sugiriendote que no entres.
Ah yo trabajé en un sistema gestor de una CA, no raíz claro. Y luego
en otro que tenía que validar muy a detalle cadenas de certificados para
evitar estas cosas.
Se habla de CA raíz y de confianza pues tú delegadas la confianza en
ella. Si no confías no entras y listo. Nadie te pone una pistola en la
cabeza.
Ahora digamos que alguien cuela en el listado de CA de Firefox,
Chrome o similar, una CA de un gobierno o grupo de tarea X, y que ese
grupo
hace lo mismo que se comentó antes. Tú no te enteras pues accedes normal
al
sistema gracias a algún mecanismo de redirección y se está capturando
todo
tu tráfico en texto plano. Eso lo puede hacer cualquier gobierno
medianamente preparado. Y lo que hacen los gobiernos para evitar esto es
tener sus propias CA en sus sistemas de misión crítica, gubernamentales,
etc..
Ejemplo el país X mete un certificado de una CA en Chrome genera un
certificado gobiernodecuba.cu, se baila las tablas de enrutamiento y
ya tú sabes por dónde pasa todo el tráfico del gobierno.
Pero vayamos un poco más allá. Tú confías en Google y Amazon y hablas
con sus dispositivos, dándole órdenes y hablando normal en tu casa, y
resulta que gracias a esa confianza todo lo que hablas está siendo
almacenado y escuchado por quien sabe.
Pero incluso si vamos un poco más allá, aquellos países grandes
enrutadores del tráfico de internet a nivel mundial tienen o pueden tener
acceso a ese tráfico y la única forma de enterarse es luego de meses de
análisis para saber que hubo un retardo no natural de algunos
milisegundos
en la paquetería intercambiada...creo que China se lo hizo a usa hace
poco
y le estaban protestando, lo de siempre, yo si pero tú no.
En estos temas prefiero confiar en mí país. Si no fuera así ya
estuviera en otro.
Saludos.
El mié., 10 de julio de 2019 4:30 p. m., Juan J. Fernandez <
juanjfdez@xxxxxxxxxx> escribió:
Perfecto muchísimas gracias ATS yo y espero otros hayan entendido
las implicaciones de todo esto. Solo diré que es muy curioso Jorge
simplemente dijo que ha trabajado en estas cosas pero ni remotamente dio
una explicación de este tipo.
Liying by omission sin decir mentiras le llamamos en spanglish,
ahora déjame ver como Quito el certificado de xetid pues creo una vez
escoji la opción de confiar en el jejeje. Esto me recuerda al bateo del
FBI
y Apple que quería que le entregara o le diera acceso al dispositivo
Apple
de un criminal jehehehe. De hecho a pesar son caras por esa misma razón
me
comprare ahora un MacBook PRO de segunda mano o recertificado que veo
están
vendiendo en 600 CAD pues en el viaje del mapeo en tren quiero dejar el
S8
para el mapeo solamente mientras escribo los tuits en el laptop via WiFi
del tren (sospecho que los AP son Cisco seguramente !, si los veo les
tiraré fotos.). Además hace años ya que regalé mi laptop así que ya me
va
haciendo falta uno.
Claro si su nombre es Ernesto y es de los que va callado en este
mundo entonces no entendería porque es importante todo esto imagino
hasta
el día que no se calle más y precisamente hable para oponerse a xetid y
sus
compinches y ahí Vera el porque de todas estas cosas entonces !!!.
Solo queda esperar a ver que nueva mentira dicen en la mesa redonda
esta noche o más tarde en el noticiero !!!, jejeje. Porque eso es lo
único
cierto y con certeza suceda en Cuba señores!!!? jejeje