Re: Fwd: [øŧ] esborrar certificat
Lo que no es llògic es que la certificació de dominis estigui feta per terceres empreses amb mes o menys prestigi, quan la concessió dels dominis la efectuen altres entitats. Si tenim en compte que la obtenció d'un domini es demanen dades personals del administrador del mateix(Nom i cognoms , correu electrònic, adreça i telèfon) no seria lo mes correcte que aquestes entitats expedissin en els administradors certificats per signar els dominis duran la duració del registre. En cas de canvi del administrador només caldria la emissió d'un clr. En el cas d'un punt cat la cadena seria: Fundació puntCat - Administrador del Domini - Domini-subdomini certificat. Altre cas diferent seria els certificats d'identificació personal. Aquests correspondrien a les administracions publiques (idcat , FNMT , etc...) organismes en els que en teoria es pot confiar. Pere Nubiola Radigales Telf: +34 656316974 e-mail: p...@nubiola.cat pnubi...@fsfe.org pere.nubi...@gmail.com El 5 de setembre de 2011 23:06, Lluís Gras lluis.g...@gmail.com ha escrit: Ara mateix acaba d'entrar una actualització a testing nss (3.12.8-1+squeeze3) stable-security; urgency=low * mozilla/security/nss/lib/ckfw/builtins/certdata.*: Explicitely distrust various DigiNotar CAs: - DigiNotar Root CA - DigiNotar Services 1024 CA - DigiNotar Cyber CA - DigiNotar Cyber CA 2nd - DigiNotar PKIoverheid - DigiNotar PKIoverheid G2 -- Mike Hommey gland...@debian.org Sat, 03 Sep 2011 09:32:46 +0200 /tmp/tmp8QsAoN (END) El 5 de setembre de 2011 22:19, Mònica Ramírez mon...@probeta.net ha escrit: El dl 05 de 09 de 2011 a les 21:09 +0200, en/na hubble va escriure: El Mon, 5 Sep 2011 19:25:31 +0200 tictacbum tictac...@gmail.com va dir: jo faig servir iceweasel 6.0 dels backports ( http://mozilla.debian.net ) i veig que també hi ha els certificats de DigiNotar (i DigiNotar B.V.) però si faig edit trust veig que té totes les opcions desmarcades (this certificate can identify web pages / mail users / software makers) suposo que amb això n'hi deu haver prou gracies per l'avís Gràcies a tu per la info. Sembla ser que ja s'han actualitzat els certificats amb el paquet ca-certificates, però el que no entenc és per qué deixen que el certificat estigui, encara que amb les caselles desmarcades. Per mi aquesta empresa no te cap confiança doncs ha tingut la boca tancada pel públic general. Si ens hem enterat és per un sirià que fent servir chrome (que al ser de google si estava asabentada) ells ho havien desabilitat i li va avisar d'un possible MIM, i així va saltat la llebre de manera més pública. Jo m'he actualitzat la testing i m'han desaparegut aquests certificats. Veig que també han fet una actualització per a l'estable. Un problema que té el paquet ca-certificates és que està orfe, és a dir que ara com ara no té cap mantenidor concret que se'n faci càrrec :-( Salut! Mònica -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1315253964.14787.8.camel@celpetit
Re: Fwd: [øŧ] esborrar certificat
+ Pere Nubiola Radigales p...@nubiola.cat: Lo que no es llògic es que la certificació de dominis estigui feta per terceres empreses amb mes o menys prestigi, quan la concessió dels dominis la efectuen altres entitats. Des del punt de vista del negoci és molt lògic: hi ha oportunitats de negoci per tot arreu, sobretot tenint en compte l'exclusivitat del producte i el que costa que s'inclogui una CA en els navegadors habituals. Busqueu els bugs de les peticions d'inclusió a Mozilla i flipareu de la de burocràcia, tràmits, auditories i enrenou que cal fer per aconseguir estar inclòs. Els que ho aconsegueixen ràpidament és perquè paguen morterades de calés a d'altres empreses que s'especialitzen en això. Més negoci. Els sistemes anàrquics de confiança com el GPG són molt més interessants, però com que no s'hi pot fer negoci... -- Alex Muntada al...@alexm.org http://alexm.org/ -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cahx6jze5uy04+oc9bsf0e7elsf5c4ukgwqitigybvpihcf7...@mail.gmail.com
Re: [øŧ] esborrar certificat
Hola Sergio, Entesos... però a la pràctica, quan jo entro a lacaixa.es ja se que estic entrant a la caixa, o a google.com o a facebook.com... O sigui, que no se si caldrien gaires comprovacions ni trucades telefòniques... (ara suposo que em deixo algun furat de seguretat, oi?). Els únics avisos que serien sospitosos estarien a webs petites, a on si no tinc clar el tema, doncs surto i punt (o em prenc la molèstia de fer les trucades, com dius...). Si desactivo el mode paranoic, suposo que en ser un sistema tant usat, els principals agents de la cadena (bancs, googles, mozilles) son els primers interessats que el sistema sigui confiable i més o menys s'ho muntaran per gestionar bé el tema... I d'altra banda, si el tema de la llebre siriana i aquest certificat insegur ha sigut corregit en una setmana i poc per debian, llavors retiro part del que he escrit i només he de reconèixer que, com a contrapart a usar aplicacions una mica antigues (mozilla 3.5), tinc un sistema molt robust en els aspectes de seguretat ;-) Pd.: les actualitzacions de seguretat només afecten a l'estable, oi? No pas a la testing (que en tot cas incorpora millores com a part del seu procés d'actualització de paquets, oi?): Fins ara, Joan Al 05/09/11 20:13, En/na Sergio Oller ha escrit: Hola, El 5 de setembre de 2011 19:05, Joan arboc...@calbasi.net mailto:arboc...@calbasi.net ha escrit: A l'Iceweasel de la estable també hi era (ja l'he tret). La meva pregunta és: - si la debian estable prioritza la seguretat, ens hem d'aconformar amb una versió antiga del navegador (po fale), però, com és que la supressió d'aquest certificat no està programada??? No sé si algú hi treballa, algú ha posat un informe d'errors? - si esborro TOTS els certificats, perdo algo? Per què punyetes he de tenir certificats d'empreses externes activats per defecte? Intento explicar-ho de la manera més simple que se m'acut: La seguretat es basa en la confiança. Si no tens cap certificat marcat com de confiança i vols usar un servei (per exemple) de banca online quan visitis la pàgina del teu banc et sortirà un avís: This Connection is Untrusted (No es confia en la connexió) i hauràs d'afegir el certificat a la llista manualment. Ara bé, abans d'afegir-lo, si ets una persona responsable, aniràs a la oficina del banc -o si confies en el telèfon trucaràs per telèfon- i els preguntaràs si la clau pública del certificat (que hauràs imprès) és correcta o no. Un cop et confirmin la clau, podràs afegir el certificat a la llista de confiança amb tota tranquil·litat. Com pots veure, això és molt pesat i no és raonable fer-ho amb cada web (imagina que cada usuari truca a Google o Facebook!) de manera que el banc decideix anar a *entitat de certificació* a que li signi el certificat i l'*entitat de certificació* va al *navegador web* i diu «sóc de fiar». Llavors el *navegador* audita la fiabilitat de l' *entitat de certificació* i si troba que «és de fiar», llavors l'afegeix a la llista d'emissors de certificats de confiança que suggereixes esborrar. Darrera de tot això acaba sortint un negoci: Si vols tenir un certificat, paga'm 100€/any, que jo he de pagar auditories. I dels negocis surten interessos impurs i tot el que vulguis. També hi ha grups (http://www.cacert.org/) que es dediquen a fer el que fan aquestes empreses de franc, però clar... les auditories amb voluntaris van molt més lentes. Jo no esborraria els certificats si no tens un bon motiu, perquè (a Mozilla com a mínim) s'ho miren bastant pel que tinc entès. Si la fletxa - vol dir relació de confiança: Usuari - Navegador web - Entitat certificadora - Banc. Si trenques el primer pas (Usuari - Navegador), la cadena queda trencada i has de revisar tots els certificats a mà. Espero haver contestat la pregunta. Salut i merci Hubble, Joan Cervan Salut, Sergio Oller -- Joan Cervan i Andreu http://personal.calbasi.net El meu paper no és transformar el món ni l'home sinó, potser, el de ser útil, des del meu lloc, als pocs valors sense els quals un món no val la pena viure'l A. Camus i pels que teniu fe: Déu no és la Veritat, la Veritat és Déu Gandhi -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e65f607.8060...@calbasi.net
Re: Fwd: [øŧ] esborrar certificat
Hola a tots, Potser pixo fora de test. Segons els logs del meu squeeze l'actualització del paquet ca-certificates és del 31-Ago-2011. No sé si això és molt o poc ràpid (a aquesta llista la noticia ha arribat aquesta setmana). Els sistemes anàrquics de confiança com el GPG són molt més interessants, però com que no s'hi pot fer negoci... Pel que fa a aquest tema. Personalment hi trobo algun problemilla. M'explico. Per tot el que he llegit, el senyor@ amb que vols intercanviar informació de forma segura t'hauria de facilitar la seva clau pública de la forma que sigui. El responsable de confiar o no amb aquesta clau recau sobre el que l'accepta (descarrega, ...). Ara venen les preguntes de principiant: - ¿Es pot confiar en els servidors de claus que hi ha a Internet? - ¿Com es pot saber si l'aplicació que s'està utilitzant per aconseguir les claus de les persones que t'interessa està sent enganyada o no? Pots ficar l'adreça del servidor i algú te la pot dirigir cap a qualsevol altre lloc (recordem el phishing als bancs, doncs, igual ¿no?). Us fico un exemple per si no m'explico bé. Estic subscrit a la llista security@debian. Tots el missatges m'arriben amb signatura de l'encarregat de turno (l'últim missatge és del Thijs Kinkhorst sobre aquest tema, paquet nss). Jo a aquest senyor no el conec de rés. Suposo que puc aconseguir el seu certificat públic GnuPG de qualsevol servidor de claus. Tot i així, que tingui aquesta clau no em garantitza que sigui ell qui m'envia el missatge ¿Cert? La meva opinió és que aquestes claus ens les haurien de donar ells com fan quan t'instal·les el sistema operatiu nou de trinca. Em sembla que el paquet és diu debian-keyring o algo similar. Sento la extensió del comentari. robert -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1315324244.5390.28.camel@nyx
Re: Fwd: [øŧ] esborrar certificat
Hola, El 6 de setembre de 2011 17:50, Robert Marsellés Fontanet robert.carde...@gmail.com ha escrit: Hola a tots, Potser pixo fora de test. Segons els logs del meu squeeze l'actualització del paquet ca-certificates és del 31-Ago-2011. No sé si això és molt o poc ràpid (a aquesta llista la noticia ha arribat aquesta setmana). Els sistemes anàrquics de confiança com el GPG són molt més interessants, però com que no s'hi pot fer negoci... Pel que fa a aquest tema. Personalment hi trobo algun problemilla. M'explico. Per tot el que he llegit, el senyor@ amb que vols intercanviar informació de forma segura t'hauria de facilitar la seva clau pública de la forma que sigui. El responsable de confiar o no amb aquesta clau recau sobre el que l'accepta (descarrega, ...). Ara venen les preguntes de principiant: - ¿Es pot confiar en els servidors de claus que hi ha a Internet? - ¿Com es pot saber si l'aplicació que s'està utilitzant per aconseguir les claus de les persones que t'interessa està sent enganyada o no? Pots ficar l'adreça del servidor i algú te la pot dirigir cap a qualsevol altre lloc (recordem el phishing als bancs, doncs, igual ¿no?). Us fico un exemple per si no m'explico bé. Estic subscrit a la llista security@debian. Tots el missatges m'arriben amb signatura de l'encarregat de turno (l'últim missatge és del Thijs Kinkhorst sobre aquest tema, paquet nss). Jo a aquest senyor no el conec de rés. Suposo que puc aconseguir el seu certificat públic GnuPG de qualsevol servidor de claus. Tot i així, que tingui aquesta clau no em garantitza que sigui ell qui m'envia el missatge ¿Cert? Crec que per solucionar aquest problema, des de Debian (i des de moltes altres institucions) es promou que la gent es signi claus mútuament a les trobades. És a dir: Quan jo em trobo a una altra persona, després de comprovar la seva identitat (DNI, passaport o similars), signo la seva clau -i li demano que signi la meva-. D'aquesta manera jo dono fe de que aquella persona és qui diu ser, i ho publico al servidor de claus. Així es forma una xarxa de gent que dóna fe de gent. Suposant que la xarxa estigui prou interconnectada, els fraus són molt difícils de fer i, si es fan, es detecten fàcilment. Ara, potser algú que en sàpiga més dóna una resposta millor... La meva opinió és que aquestes claus ens les haurien de donar ells com fan quan t'instal·les el sistema operatiu nou de trinca. Em sembla que el paquet és diu debian-keyring o algo similar. Sento la extensió del comentari. robert Salut! Sergio
Re: Fwd: [øŧ] esborrar certificat
El Dimarts dia Dimarts 06 Setembre 2011 Robert Marsellés Fontanet Marsellés Robert Marsellés Fontanet robert.carde...@gmail.com va escriure: Hola a tots, Potser pixo fora de test. Segons els logs del meu squeeze l'actualització del paquet ca-certificates és del 31-Ago-2011. No sé si això és molt o poc ràpid (a aquesta llista la noticia ha arribat aquesta setmana). Els sistemes anàrquics de confiança com el GPG són molt més interessants, però com que no s'hi pot fer negoci... Pel que fa a aquest tema. Personalment hi trobo algun problemilla. M'explico. Per tot el que he llegit, el senyor@ amb que vols intercanviar informació de forma segura t'hauria de facilitar la seva clau pública de la forma que sigui. El responsable de confiar o no amb aquesta clau recau sobre el que l'accepta (descarrega, ...). Ara venen les preguntes de principiant: La resposta del Sergio Oller és correcta, tot i que només respon parcialment a la pregunta. Ara bé, cal fer notar que el fil anava sobre els certificats incorporats al navegador i utilitzats per identificar llocs web. En canvi tu parles sobre certificats utilitzats per identificar persones. En teoria la idea és la mateixa: una persona o entitat X es fabrica un certificat que permet identificar-lo unívocament i/o establir un canal de comunicació xifrat amb un altre individu o entitat, diguem-li Y. El problema ve a l'hora de confiar en el certificat generat. Les empreses generalment poden pagar-se el servei d'una entitat certificadora (diguem-li Z) en qui tothom confia, que dóna fe que el certificat X ha estat emès per qui diu ser. Així l'usuari Y confia en el certificat de X perquè aquest ha estat signat per Z, i Y confia en Z. En resum podria ser: Com que Y confia en Z, i Z confia en X, aleshores Y confia en X. Per contra, com apuntava n'Àlex, els individus corrents com que usualment no poden/volen pagar-se els serveis d'una entitat certificadora, basen la seva confiança en una xarxa anàrquica. L'usuari X es genera un certificat i se'l fa signar per un conjunt de persones A, B, C, etc., com més extens millor. Aquestes signatures s'han de fer en unes condicions que garanteixin l'autenticitat de X i dels signants: normalment es fan en trobades presencials i seguint un protocol sense fissures lògiques. Aleshores quan l'usuari Y vol cerciorar-se de que X és qui diu ser, i/o enviar-li un missatge xifrat, cal que: a) Comprovi si en alguna ocasió ell (Y) ha signat la clau pública de X. Si és així i ho ha fet com cal, aleshores Y pot confiar en que X és qui diu ser. b) Es pot donar el cas que Y no hagi coincidit mai amb X i per tant no hagi pogut verificar directament la seva identitat, però pot passar que Y sí que conegui (i confïi) en alguns dels signants de la clau de X (A, B, C...). en aquest cas Y pot confiar en la identitat de X perquè algú que ell coneix personalment (A, B, C...) també coneix personalment a X. Eventualment també es pot arribar a confiar en X si es troba un camí de confiança p.ex: Y - A - D - F - M - X. Els amics dels meus amics són els meus amics :-) - ¿Es pot confiar en els servidors de claus que hi ha a Internet? Si, perquè els servidors no poden modificar les claus d'algú sense que es pugui detectar. Coses de la criptografia forta. - ¿Com es pot saber si l'aplicació que s'està utilitzant per aconseguir les claus de les persones que t'interessa està sent enganyada o no? Pots ficar l'adreça del servidor i algú te la pot dirigir cap a qualsevol altre lloc (recordem el phishing als bancs, doncs, igual ¿no?). Les adreces i servidors intermedis no importen, només les claus d'origen i final. Si les claus no han estat compromeses, qualsevol intent de phishing serà detectat. El problema és que poca gent fa cas de les advertències dels navegadors sobre llocs web dels quals no es pot comprovar la validesa del certificat. Us fico un exemple per si no m'explico bé. Estic subscrit a la llista security@debian. Tots el missatges m'arriben amb signatura de l'encarregat de turno (l'últim missatge és del Thijs Kinkhorst sobre aquest tema, paquet nss). Jo a aquest senyor no el conec de rés. Suposo que puc aconseguir el seu certificat públic GnuPG de qualsevol servidor de claus. Tot i així, que tingui aquesta clau no em garantitza que sigui ell qui m'envia el missatge ¿Cert? Allò que dèiem: anells de confiança. Hauries de llistar qui signa la seva clau pública i veure si tu confies en alguns dels signants, o si trobes algun camí de confiança entre tu i ell passant per diversos anells de confiança. Una mica pal, però en la pràctica pots tenir un grau raonable de confiança si la clau d'aquest bon home està signada per molta gent, com més grenyosa i barbuda (cas que siguin homes) millor. Però aquest comentari suscitarà les ires dels veritables criptògrafs, perquè aquest sistema MAI no pot assegurar la fiabilitat de la identificació, i si no s'assegura el 100% és igual a assegurar-la
Re: Fwd: [øŧ] esborrar certificat
El Dimarts 6 Setembre 2011 19:21:28 Orestes Mas va escriure: si la clau d'aquest bon home està signada per molta gent, com més grenyosa i barbuda (cas que siguin homes) millor. Mira que bé, tinc garantia per cognom i per barba. Definitivament m'he equivocat de professió :-) -- Atentament, Eloi Notario. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201109062239.02313.entfe...@gmail.com