Re: [øŧ] esborrar certificat
A Dimarts, 20 de setembre de 2011 08:35:05, Marc Olive va escriure: On Monday 05 September 2011 18:38:25 hubble wrote: La cosa és que suposo que sabeu que els nostres Navegadors web (no només en iceweasel) Vénen Amb UNS certificats de Seguretat de diverses empreses certificadores. Hackers break SSL encryption: Researchers have discovered a serious weakness in virtually all websites protected by the secure sockets layer protocol that allows attackers to silently decrypt data http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/ I ara què, eh? Ja ho deia jo que el problema dels certificats era menor. Apa, a cascarla. Aquí estem parlant de dos problemes totalment diferents. Un és el de la confiança implícita en unes entitats certificadores de les quals l'usuari final no en sap res, i a més estan plagades de clàusules d'excepció de responsabilitat: jo firmo això, però si no és qui diu qui és és el teu problema, no el meu. Això és simplement patètic. Aquesta última notícia és detectar un text xifrat que es repeteix amb molta freqüència com a base per a un criptoanàlisi del xifratge. Els alemanys amb la seva Enigma estaven tan confiats que es dedicaven a enviar butlletins meteorològics diaris xifrats, que eren interceptats sistemàticament i analitzats a la recerca de patrons per identificar parts del text clar (las dos y sereno). Segurament haurien acabat trencant-la, però van aconseguir robar una codificadora i ja no els va fer falta seguir per aquest camí :-) Però aquí també tenim patetisme: llegeixo que d'això ja se n'havia parlat deu anys enrere (!) [1] però que si uns aplicaven el pedaç però d'altres no aleshores no s'entenien entre ells, i clar, el problema era qui havia fet el canvi perquè s'havia carregat una cosa que abans funcionava... El que vull dir amb això és que aquest problema és solucionable, ara que s'ha aixecat la llebre el pas a TLS 1.1 serà més ràpid. Clients implementaran el suport i a la llarga bloquejaran TLS 1.0 (i SSL de pas) per insegur, servidors començaran a servir TLS 1.1 i a la llarga deixaran de servir amb TLS 1.0 quan suposi una quota ínfoma de connexions. És un upgrade a banda i banda. El problema de la confiança dels certificats és social, sempre hauràs de confiar en algú a qui no coneixes perquè et presenti a algú que tampoc coneixes però amb qui vols fer tractes. Una xarxa de confiança a l'estil PGP és impràctic a gran escala, per haver d'establir confiança amb suficients agents com per refiar-te de totes les claus veraces: al final la gent acabaria firmant claus a tort i a dret per evitar alertes de desconfiança i seria impossible discernir les firmes responsables de les altres. [1] http://www.openssl.org/~bodo/tls-cbc.txt -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201109281942.16243.entfe...@gmail.com
Re: [øŧ] esborrar certificat
On Monday 05 September 2011 18:38:25 hubble wrote: La cosa és que suposo que sabeu que els nostres Navegadors web (no només en iceweasel) Vénen Amb UNS certificats de Seguretat de diverses empreses certificadores. Hackers break SSL encryption: Researchers have discovered a serious weakness in virtually all websites protected by the secure sockets layer protocol that allows attackers to silently decrypt data http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/ I ara què, eh? Ja ho deia jo que el problema dels certificats era menor. Apa, a cascarla. -- Marc Olivé Blau Advisors marc.ol...@blauadvisors.com C/ Molí de Guasch, 10 baixos 1a, 43440 L’Espluga de Francolí (Tarragona) Tel. +34 977 870 702 Tel i Fax. + 34 977 870 507 www.blauadvisors.com -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201109200835.05642.marc.ol...@blauadvisors.com
Re: Fwd: [øŧ] esborrar certificat
Lo que no es llògic es que la certificació de dominis estigui feta per terceres empreses amb mes o menys prestigi, quan la concessió dels dominis la efectuen altres entitats. Si tenim en compte que la obtenció d'un domini es demanen dades personals del administrador del mateix(Nom i cognoms , correu electrònic, adreça i telèfon) no seria lo mes correcte que aquestes entitats expedissin en els administradors certificats per signar els dominis duran la duració del registre. En cas de canvi del administrador només caldria la emissió d'un clr. En el cas d'un punt cat la cadena seria: Fundació puntCat - Administrador del Domini - Domini-subdomini certificat. Altre cas diferent seria els certificats d'identificació personal. Aquests correspondrien a les administracions publiques (idcat , FNMT , etc...) organismes en els que en teoria es pot confiar. Pere Nubiola Radigales Telf: +34 656316974 e-mail: p...@nubiola.cat pnubi...@fsfe.org pere.nubi...@gmail.com El 5 de setembre de 2011 23:06, Lluís Gras lluis.g...@gmail.com ha escrit: Ara mateix acaba d'entrar una actualització a testing nss (3.12.8-1+squeeze3) stable-security; urgency=low * mozilla/security/nss/lib/ckfw/builtins/certdata.*: Explicitely distrust various DigiNotar CAs: - DigiNotar Root CA - DigiNotar Services 1024 CA - DigiNotar Cyber CA - DigiNotar Cyber CA 2nd - DigiNotar PKIoverheid - DigiNotar PKIoverheid G2 -- Mike Hommey gland...@debian.org Sat, 03 Sep 2011 09:32:46 +0200 /tmp/tmp8QsAoN (END) El 5 de setembre de 2011 22:19, Mònica Ramírez mon...@probeta.net ha escrit: El dl 05 de 09 de 2011 a les 21:09 +0200, en/na hubble va escriure: El Mon, 5 Sep 2011 19:25:31 +0200 tictacbum tictac...@gmail.com va dir: jo faig servir iceweasel 6.0 dels backports ( http://mozilla.debian.net ) i veig que també hi ha els certificats de DigiNotar (i DigiNotar B.V.) però si faig edit trust veig que té totes les opcions desmarcades (this certificate can identify web pages / mail users / software makers) suposo que amb això n'hi deu haver prou gracies per l'avís Gràcies a tu per la info. Sembla ser que ja s'han actualitzat els certificats amb el paquet ca-certificates, però el que no entenc és per qué deixen que el certificat estigui, encara que amb les caselles desmarcades. Per mi aquesta empresa no te cap confiança doncs ha tingut la boca tancada pel públic general. Si ens hem enterat és per un sirià que fent servir chrome (que al ser de google si estava asabentada) ells ho havien desabilitat i li va avisar d'un possible MIM, i així va saltat la llebre de manera més pública. Jo m'he actualitzat la testing i m'han desaparegut aquests certificats. Veig que també han fet una actualització per a l'estable. Un problema que té el paquet ca-certificates és que està orfe, és a dir que ara com ara no té cap mantenidor concret que se'n faci càrrec :-( Salut! Mònica -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1315253964.14787.8.camel@celpetit
Re: Fwd: [øŧ] esborrar certificat
+ Pere Nubiola Radigales p...@nubiola.cat: Lo que no es llògic es que la certificació de dominis estigui feta per terceres empreses amb mes o menys prestigi, quan la concessió dels dominis la efectuen altres entitats. Des del punt de vista del negoci és molt lògic: hi ha oportunitats de negoci per tot arreu, sobretot tenint en compte l'exclusivitat del producte i el que costa que s'inclogui una CA en els navegadors habituals. Busqueu els bugs de les peticions d'inclusió a Mozilla i flipareu de la de burocràcia, tràmits, auditories i enrenou que cal fer per aconseguir estar inclòs. Els que ho aconsegueixen ràpidament és perquè paguen morterades de calés a d'altres empreses que s'especialitzen en això. Més negoci. Els sistemes anàrquics de confiança com el GPG són molt més interessants, però com que no s'hi pot fer negoci... -- Alex Muntada al...@alexm.org http://alexm.org/ -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cahx6jze5uy04+oc9bsf0e7elsf5c4ukgwqitigybvpihcf7...@mail.gmail.com
Re: [øŧ] esborrar certificat
Hola Sergio, Entesos... però a la pràctica, quan jo entro a lacaixa.es ja se que estic entrant a la caixa, o a google.com o a facebook.com... O sigui, que no se si caldrien gaires comprovacions ni trucades telefòniques... (ara suposo que em deixo algun furat de seguretat, oi?). Els únics avisos que serien sospitosos estarien a webs petites, a on si no tinc clar el tema, doncs surto i punt (o em prenc la molèstia de fer les trucades, com dius...). Si desactivo el mode paranoic, suposo que en ser un sistema tant usat, els principals agents de la cadena (bancs, googles, mozilles) son els primers interessats que el sistema sigui confiable i més o menys s'ho muntaran per gestionar bé el tema... I d'altra banda, si el tema de la llebre siriana i aquest certificat insegur ha sigut corregit en una setmana i poc per debian, llavors retiro part del que he escrit i només he de reconèixer que, com a contrapart a usar aplicacions una mica antigues (mozilla 3.5), tinc un sistema molt robust en els aspectes de seguretat ;-) Pd.: les actualitzacions de seguretat només afecten a l'estable, oi? No pas a la testing (que en tot cas incorpora millores com a part del seu procés d'actualització de paquets, oi?): Fins ara, Joan Al 05/09/11 20:13, En/na Sergio Oller ha escrit: Hola, El 5 de setembre de 2011 19:05, Joan arboc...@calbasi.net mailto:arboc...@calbasi.net ha escrit: A l'Iceweasel de la estable també hi era (ja l'he tret). La meva pregunta és: - si la debian estable prioritza la seguretat, ens hem d'aconformar amb una versió antiga del navegador (po fale), però, com és que la supressió d'aquest certificat no està programada??? No sé si algú hi treballa, algú ha posat un informe d'errors? - si esborro TOTS els certificats, perdo algo? Per què punyetes he de tenir certificats d'empreses externes activats per defecte? Intento explicar-ho de la manera més simple que se m'acut: La seguretat es basa en la confiança. Si no tens cap certificat marcat com de confiança i vols usar un servei (per exemple) de banca online quan visitis la pàgina del teu banc et sortirà un avís: This Connection is Untrusted (No es confia en la connexió) i hauràs d'afegir el certificat a la llista manualment. Ara bé, abans d'afegir-lo, si ets una persona responsable, aniràs a la oficina del banc -o si confies en el telèfon trucaràs per telèfon- i els preguntaràs si la clau pública del certificat (que hauràs imprès) és correcta o no. Un cop et confirmin la clau, podràs afegir el certificat a la llista de confiança amb tota tranquil·litat. Com pots veure, això és molt pesat i no és raonable fer-ho amb cada web (imagina que cada usuari truca a Google o Facebook!) de manera que el banc decideix anar a *entitat de certificació* a que li signi el certificat i l'*entitat de certificació* va al *navegador web* i diu «sóc de fiar». Llavors el *navegador* audita la fiabilitat de l' *entitat de certificació* i si troba que «és de fiar», llavors l'afegeix a la llista d'emissors de certificats de confiança que suggereixes esborrar. Darrera de tot això acaba sortint un negoci: Si vols tenir un certificat, paga'm 100€/any, que jo he de pagar auditories. I dels negocis surten interessos impurs i tot el que vulguis. També hi ha grups (http://www.cacert.org/) que es dediquen a fer el que fan aquestes empreses de franc, però clar... les auditories amb voluntaris van molt més lentes. Jo no esborraria els certificats si no tens un bon motiu, perquè (a Mozilla com a mínim) s'ho miren bastant pel que tinc entès. Si la fletxa - vol dir relació de confiança: Usuari - Navegador web - Entitat certificadora - Banc. Si trenques el primer pas (Usuari - Navegador), la cadena queda trencada i has de revisar tots els certificats a mà. Espero haver contestat la pregunta. Salut i merci Hubble, Joan Cervan Salut, Sergio Oller -- Joan Cervan i Andreu http://personal.calbasi.net El meu paper no és transformar el món ni l'home sinó, potser, el de ser útil, des del meu lloc, als pocs valors sense els quals un món no val la pena viure'l A. Camus i pels que teniu fe: Déu no és la Veritat, la Veritat és Déu Gandhi -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e65f607.8060...@calbasi.net
Re: Fwd: [øŧ] esborrar certificat
Hola a tots, Potser pixo fora de test. Segons els logs del meu squeeze l'actualització del paquet ca-certificates és del 31-Ago-2011. No sé si això és molt o poc ràpid (a aquesta llista la noticia ha arribat aquesta setmana). Els sistemes anàrquics de confiança com el GPG són molt més interessants, però com que no s'hi pot fer negoci... Pel que fa a aquest tema. Personalment hi trobo algun problemilla. M'explico. Per tot el que he llegit, el senyor@ amb que vols intercanviar informació de forma segura t'hauria de facilitar la seva clau pública de la forma que sigui. El responsable de confiar o no amb aquesta clau recau sobre el que l'accepta (descarrega, ...). Ara venen les preguntes de principiant: - ¿Es pot confiar en els servidors de claus que hi ha a Internet? - ¿Com es pot saber si l'aplicació que s'està utilitzant per aconseguir les claus de les persones que t'interessa està sent enganyada o no? Pots ficar l'adreça del servidor i algú te la pot dirigir cap a qualsevol altre lloc (recordem el phishing als bancs, doncs, igual ¿no?). Us fico un exemple per si no m'explico bé. Estic subscrit a la llista security@debian. Tots el missatges m'arriben amb signatura de l'encarregat de turno (l'últim missatge és del Thijs Kinkhorst sobre aquest tema, paquet nss). Jo a aquest senyor no el conec de rés. Suposo que puc aconseguir el seu certificat públic GnuPG de qualsevol servidor de claus. Tot i així, que tingui aquesta clau no em garantitza que sigui ell qui m'envia el missatge ¿Cert? La meva opinió és que aquestes claus ens les haurien de donar ells com fan quan t'instal·les el sistema operatiu nou de trinca. Em sembla que el paquet és diu debian-keyring o algo similar. Sento la extensió del comentari. robert -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1315324244.5390.28.camel@nyx
Re: Fwd: [øŧ] esborrar certificat
Hola, El 6 de setembre de 2011 17:50, Robert Marsellés Fontanet robert.carde...@gmail.com ha escrit: Hola a tots, Potser pixo fora de test. Segons els logs del meu squeeze l'actualització del paquet ca-certificates és del 31-Ago-2011. No sé si això és molt o poc ràpid (a aquesta llista la noticia ha arribat aquesta setmana). Els sistemes anàrquics de confiança com el GPG són molt més interessants, però com que no s'hi pot fer negoci... Pel que fa a aquest tema. Personalment hi trobo algun problemilla. M'explico. Per tot el que he llegit, el senyor@ amb que vols intercanviar informació de forma segura t'hauria de facilitar la seva clau pública de la forma que sigui. El responsable de confiar o no amb aquesta clau recau sobre el que l'accepta (descarrega, ...). Ara venen les preguntes de principiant: - ¿Es pot confiar en els servidors de claus que hi ha a Internet? - ¿Com es pot saber si l'aplicació que s'està utilitzant per aconseguir les claus de les persones que t'interessa està sent enganyada o no? Pots ficar l'adreça del servidor i algú te la pot dirigir cap a qualsevol altre lloc (recordem el phishing als bancs, doncs, igual ¿no?). Us fico un exemple per si no m'explico bé. Estic subscrit a la llista security@debian. Tots el missatges m'arriben amb signatura de l'encarregat de turno (l'últim missatge és del Thijs Kinkhorst sobre aquest tema, paquet nss). Jo a aquest senyor no el conec de rés. Suposo que puc aconseguir el seu certificat públic GnuPG de qualsevol servidor de claus. Tot i així, que tingui aquesta clau no em garantitza que sigui ell qui m'envia el missatge ¿Cert? Crec que per solucionar aquest problema, des de Debian (i des de moltes altres institucions) es promou que la gent es signi claus mútuament a les trobades. És a dir: Quan jo em trobo a una altra persona, després de comprovar la seva identitat (DNI, passaport o similars), signo la seva clau -i li demano que signi la meva-. D'aquesta manera jo dono fe de que aquella persona és qui diu ser, i ho publico al servidor de claus. Així es forma una xarxa de gent que dóna fe de gent. Suposant que la xarxa estigui prou interconnectada, els fraus són molt difícils de fer i, si es fan, es detecten fàcilment. Ara, potser algú que en sàpiga més dóna una resposta millor... La meva opinió és que aquestes claus ens les haurien de donar ells com fan quan t'instal·les el sistema operatiu nou de trinca. Em sembla que el paquet és diu debian-keyring o algo similar. Sento la extensió del comentari. robert Salut! Sergio
Re: Fwd: [øŧ] esborrar certificat
El Dimarts dia Dimarts 06 Setembre 2011 Robert Marsellés Fontanet Marsellés Robert Marsellés Fontanet robert.carde...@gmail.com va escriure: Hola a tots, Potser pixo fora de test. Segons els logs del meu squeeze l'actualització del paquet ca-certificates és del 31-Ago-2011. No sé si això és molt o poc ràpid (a aquesta llista la noticia ha arribat aquesta setmana). Els sistemes anàrquics de confiança com el GPG són molt més interessants, però com que no s'hi pot fer negoci... Pel que fa a aquest tema. Personalment hi trobo algun problemilla. M'explico. Per tot el que he llegit, el senyor@ amb que vols intercanviar informació de forma segura t'hauria de facilitar la seva clau pública de la forma que sigui. El responsable de confiar o no amb aquesta clau recau sobre el que l'accepta (descarrega, ...). Ara venen les preguntes de principiant: La resposta del Sergio Oller és correcta, tot i que només respon parcialment a la pregunta. Ara bé, cal fer notar que el fil anava sobre els certificats incorporats al navegador i utilitzats per identificar llocs web. En canvi tu parles sobre certificats utilitzats per identificar persones. En teoria la idea és la mateixa: una persona o entitat X es fabrica un certificat que permet identificar-lo unívocament i/o establir un canal de comunicació xifrat amb un altre individu o entitat, diguem-li Y. El problema ve a l'hora de confiar en el certificat generat. Les empreses generalment poden pagar-se el servei d'una entitat certificadora (diguem-li Z) en qui tothom confia, que dóna fe que el certificat X ha estat emès per qui diu ser. Així l'usuari Y confia en el certificat de X perquè aquest ha estat signat per Z, i Y confia en Z. En resum podria ser: Com que Y confia en Z, i Z confia en X, aleshores Y confia en X. Per contra, com apuntava n'Àlex, els individus corrents com que usualment no poden/volen pagar-se els serveis d'una entitat certificadora, basen la seva confiança en una xarxa anàrquica. L'usuari X es genera un certificat i se'l fa signar per un conjunt de persones A, B, C, etc., com més extens millor. Aquestes signatures s'han de fer en unes condicions que garanteixin l'autenticitat de X i dels signants: normalment es fan en trobades presencials i seguint un protocol sense fissures lògiques. Aleshores quan l'usuari Y vol cerciorar-se de que X és qui diu ser, i/o enviar-li un missatge xifrat, cal que: a) Comprovi si en alguna ocasió ell (Y) ha signat la clau pública de X. Si és així i ho ha fet com cal, aleshores Y pot confiar en que X és qui diu ser. b) Es pot donar el cas que Y no hagi coincidit mai amb X i per tant no hagi pogut verificar directament la seva identitat, però pot passar que Y sí que conegui (i confïi) en alguns dels signants de la clau de X (A, B, C...). en aquest cas Y pot confiar en la identitat de X perquè algú que ell coneix personalment (A, B, C...) també coneix personalment a X. Eventualment també es pot arribar a confiar en X si es troba un camí de confiança p.ex: Y - A - D - F - M - X. Els amics dels meus amics són els meus amics :-) - ¿Es pot confiar en els servidors de claus que hi ha a Internet? Si, perquè els servidors no poden modificar les claus d'algú sense que es pugui detectar. Coses de la criptografia forta. - ¿Com es pot saber si l'aplicació que s'està utilitzant per aconseguir les claus de les persones que t'interessa està sent enganyada o no? Pots ficar l'adreça del servidor i algú te la pot dirigir cap a qualsevol altre lloc (recordem el phishing als bancs, doncs, igual ¿no?). Les adreces i servidors intermedis no importen, només les claus d'origen i final. Si les claus no han estat compromeses, qualsevol intent de phishing serà detectat. El problema és que poca gent fa cas de les advertències dels navegadors sobre llocs web dels quals no es pot comprovar la validesa del certificat. Us fico un exemple per si no m'explico bé. Estic subscrit a la llista security@debian. Tots el missatges m'arriben amb signatura de l'encarregat de turno (l'últim missatge és del Thijs Kinkhorst sobre aquest tema, paquet nss). Jo a aquest senyor no el conec de rés. Suposo que puc aconseguir el seu certificat públic GnuPG de qualsevol servidor de claus. Tot i així, que tingui aquesta clau no em garantitza que sigui ell qui m'envia el missatge ¿Cert? Allò que dèiem: anells de confiança. Hauries de llistar qui signa la seva clau pública i veure si tu confies en alguns dels signants, o si trobes algun camí de confiança entre tu i ell passant per diversos anells de confiança. Una mica pal, però en la pràctica pots tenir un grau raonable de confiança si la clau d'aquest bon home està signada per molta gent, com més grenyosa i barbuda (cas que siguin homes) millor. Però aquest comentari suscitarà les ires dels veritables criptògrafs, perquè aquest sistema MAI no pot assegurar la fiabilitat de la identificació, i si no s'assegura el 100% és igual a assegurar-la
Re: Fwd: [øŧ] esborrar certificat
El Dimarts 6 Setembre 2011 19:21:28 Orestes Mas va escriure: si la clau d'aquest bon home està signada per molta gent, com més grenyosa i barbuda (cas que siguin homes) millor. Mira que bé, tinc garantia per cognom i per barba. Definitivament m'he equivocat de professió :-) -- Atentament, Eloi Notario. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201109062239.02313.entfe...@gmail.com
Fwd: [øŧ] esborrar certificat
jo faig servir iceweasel 6.0 dels backports ( http://mozilla.debian.net ) i veig que també hi ha els certificats de DigiNotar (i DigiNotar B.V.) però si faig edit trust veig que té totes les opcions desmarcades (this certificate can identify web pages / mail users / software makers) suposo que amb això n'hi deu haver prou gracies per l'avís 2011/9/5 hubble hub...@telefonica.net Increïblement a Debian Testing gaudim iceweasel de 5.0, cosa que creia que no arribaria fins la Propera dècada tal com ens té acostumats debian. La cosa és que suposo que sabeu que els nostres Navegadors web (no només en iceweasel) Vénen Amb UNS certificats de Seguretat de diverses empreses certificadores. Un Certificat Digital és un document digital mitjançant el qual un tercer confiable (una autoritat de certificació) garanteix la vinculació entre la identitat d'un subjecte o entitat i la seva clau pública. Per Saber més (http://ca.wikipedia.org/wiki/Certificat_digital) Doncs bé, El cas és que fa ja UNS mesos (se sap DESde juny), l'Empresa DigiNotar va ser crackejada i si van expedir certificats falsos de Diversos Dominis de google. Aquests Certificats ¿falsos? Han Estat a la venda per internet i fins i tot algun govern els ha comprat (per Exemple El cas de Síria) Els Han pogut utilitzar per realitzar un MIM (per saber més http://ca.wikipedia.org/wiki/Atac_Man-in-the-middle), recolzats Pels ISP del País, a les persones Que es connectaven a Google (gmail) a Gestionar el correu quedant el seu Compte i Contrasenyes Al Descobert i podent ser presa de la repressió si Fora El cas. A la Majoria de les Actualitzacions dels Navegadors d'altres Distribucions de programari s'ha solventat el problema retirant el certificat del navegador. A la Velocitat que Ens actualitzem a debian no se sap quan arrivarà aquesta actualització. És per això que us informo del Fet i De que si us voleu protegir heu de treure el Certificat de Seguretat Que acompanya al vostre navegador de la Següent Manera iceweasel a: Edita / Preferències / Avançat / Xifratge / alli premem El Botó de Visualitza els certificats Busquem El de DigiNotar i l'eliminem sense contemplacions (aquesta Companyia ja no és de confiança) No us fieu de Lo Que dic, busqueu a internet Informació i veureu Què és cert. Per Altres Navegadors actueu de la mateixa Manera si us és Possible. Apa, salutacions i sort. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110905183825.2e42aafff13eb677713c3...@telefonica.net
Re: [øŧ] esborrar certificat
A l'Iceweasel de la estable també hi era (ja l'he tret). La meva pregunta és: - si la debian estable prioritza la seguretat, ens hem d'aconformar amb una versió antiga del navegador (po fale), però, com és que la supressió d'aquest certificat no està programada??? - si esborro TOTS els certificats, perdo algo? Per què punyetes he de tenir certificats d'empreses externes activats per defecte? Salut i merci Hubble, Joan Cervan Al 05/09/11 18:38, En/na hubble ha escrit: Increïblement a Debian Testing gaudim iceweasel de 5.0, cosa que creia que no arribaria fins la Propera dècada tal com ens té acostumats debian. La cosa és que suposo que sabeu que els nostres Navegadors web (no només en iceweasel) Vénen Amb UNS certificats de Seguretat de diverses empreses certificadores. Un Certificat Digital és un document digital mitjançant el qual un tercer confiable (una autoritat de certificació) garanteix la vinculació entre la identitat d'un subjecte o entitat i la seva clau pública. Per Saber més (http://ca.wikipedia.org/wiki/Certificat_digital) Doncs bé, El cas és que fa ja UNS mesos (se sap DESde juny), l'Empresa DigiNotar va ser crackejada i si van expedir certificats falsos de Diversos Dominis de google. Aquests Certificats ¿falsos? Han Estat a la venda per internet i fins i tot algun govern els ha comprat (per Exemple El cas de Síria) Els Han pogut utilitzar per realitzar un MIM (per saber més http://ca.wikipedia.org/wiki/Atac_Man-in-the-middle), recolzats Pels ISP del País, a les persones Que es connectaven a Google (gmail) a Gestionar el correu quedant el seu Compte i Contrasenyes Al Descobert i podent ser presa de la repressió si Fora El cas. A la Majoria de les Actualitzacions dels Navegadors d'altres Distribucions de programari s'ha solventat el problema retirant el certificat del navegador. A la Velocitat que Ens actualitzem a debian no se sap quan arrivarà aquesta actualització. És per això que us informo del Fet i De que si us voleu protegir heu de treure el Certificat de Seguretat Que acompanya al vostre navegador de la Següent Manera iceweasel a: Edita / Preferències / Avançat / Xifratge / alli premem El Botó de Visualitza els certificats Busquem El de DigiNotar i l'eliminem sense contemplacions (aquesta Companyia ja no és de confiança) No us fieu de Lo Que dic, busqueu a internet Informació i veureu Què és cert. Per Altres Navegadors actueu de la mateixa Manera si us és Possible. Apa, salutacions i sort. -- Joan Cervan i Andreu http://personal.calbasi.net El meu paper no és transformar el món ni l'home sinó, potser, el de ser útil, des del meu lloc, als pocs valors sense els quals un món no val la pena viure'l A. Camus i pels que teniu fe: Déu no és la Veritat, la Veritat és Déu Gandhi -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e65015e.7070...@calbasi.net
Re: Fwd: [øŧ] esborrar certificat
El Mon, 5 Sep 2011 19:25:31 +0200 tictacbum tictac...@gmail.com va dir: jo faig servir iceweasel 6.0 dels backports ( http://mozilla.debian.net ) i veig que també hi ha els certificats de DigiNotar (i DigiNotar B.V.) però si faig edit trust veig que té totes les opcions desmarcades (this certificate can identify web pages / mail users / software makers) suposo que amb això n'hi deu haver prou gracies per l'avís Gràcies a tu per la info. Sembla ser que ja s'han actualitzat els certificats amb el paquet ca-certificates, però el que no entenc és per qué deixen que el certificat estigui, encara que amb les caselles desmarcades. Per mi aquesta empresa no te cap confiança doncs ha tingut la boca tancada pel públic general. Si ens hem enterat és per un sirià que fent servir chrome (que al ser de google si estava asabentada) ells ho havien desabilitat i li va avisar d'un possible MIM, i així va saltat la llebre de manera més pública. Apa, sort. 2011/9/5 hubble hub...@telefonica.net Increïblement a Debian Testing gaudim iceweasel de 5.0, cosa que creia que no arribaria fins la Propera dècada tal com ens té acostumats debian. La cosa és que suposo que sabeu que els nostres Navegadors web (no només en iceweasel) Vénen Amb UNS certificats de Seguretat de diverses empreses certificadores. Un Certificat Digital és un document digital mitjançant el qual un tercer confiable (una autoritat de certificació) garanteix la vinculació entre la identitat d'un subjecte o entitat i la seva clau pública. Per Saber més (http://ca.wikipedia.org/wiki/Certificat_digital) Doncs bé, El cas és que fa ja UNS mesos (se sap DESde juny), l'Empresa DigiNotar va ser crackejada i si van expedir certificats falsos de Diversos Dominis de google. Aquests Certificats ¿falsos? Han Estat a la venda per internet i fins i tot algun govern els ha comprat (per Exemple El cas de Síria) Els Han pogut utilitzar per realitzar un MIM (per saber més http://ca.wikipedia.org/wiki/Atac_Man-in-the-middle), recolzats Pels ISP del País, a les persones Que es connectaven a Google (gmail) a Gestionar el correu quedant el seu Compte i Contrasenyes Al Descobert i podent ser presa de la repressió si Fora El cas. A la Majoria de les Actualitzacions dels Navegadors d'altres Distribucions de programari s'ha solventat el problema retirant el certificat del navegador. A la Velocitat que Ens actualitzem a debian no se sap quan arrivarà aquesta actualització. És per això que us informo del Fet i De que si us voleu protegir heu de treure el Certificat de Seguretat Que acompanya al vostre navegador de la Següent Manera iceweasel a: Edita / Preferències / Avançat / Xifratge / alli premem El Botó de Visualitza els certificats Busquem El de DigiNotar i l'eliminem sense contemplacions (aquesta Companyia ja no és de confiança) No us fieu de Lo Que dic, busqueu a internet Informació i veureu Què és cert. Per Altres Navegadors actueu de la mateixa Manera si us és Possible. Apa, salutacions i sort. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110905183825.2e42aafff13eb677713c3...@telefonica.net -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110905210954.15d1e5f95606bf7f89273...@telefonica.net
Re: [øŧ] esborrar certificat
Gràcies. Jo faig servir el 6.0, però he preferit esborrar-lo. No se si mai he accedit a una plana amb un certificat d'ells, però ara ja està clar que no. Xavier De Yzaguirre xdeyzaguirre(at)gmail(dot)com El 05/09/2011, a les 18:41, hubble hub...@telefonica.net va escriure: Increïblement a Debian Testing gaudim iceweasel de 5.0, cosa que creia que no arribaria fins la Propera dècada tal com ens té acostumats debian. La cosa és que suposo que sabeu que els nostres Navegadors web (no només en iceweasel) Vénen Amb UNS certificats de Seguretat de diverses empreses certificadores. Un Certificat Digital és un document digital mitjançant el qual un tercer confiable (una autoritat de certificació) garanteix la vinculació entre la identitat d'un subjecte o entitat i la seva clau pública. Per Saber més (http://ca.wikipedia.org/wiki/Certificat_digital) Doncs bé, El cas és que fa ja UNS mesos (se sap DESde juny), l'Empresa DigiNotar va ser crackejada i si van expedir certificats falsos de Diversos Dominis de google. Aquests Certificats ¿falsos? Han Estat a la venda per internet i fins i tot algun govern els ha comprat (per Exemple El cas de Síria) Els Han pogut utilitzar per realitzar un MIM (per saber més http://ca.wikipedia.org/wiki/Atac_Man-in-the-middle), recolzats Pels ISP del País, a les persones Que es connectaven a Google (gmail) a Gestionar el correu quedant el seu Compte i Contrasenyes Al Descobert i podent ser presa de la repressió si Fora El cas. A la Majoria de les Actualitzacions dels Navegadors d'altres Distribucions de programari s'ha solventat el problema retirant el certificat del navegador. A la Velocitat que Ens actualitzem a debian no se sap quan arrivarà aquesta actualització. És per això que us informo del Fet i De que si us voleu protegir heu de treure el Certificat de Seguretat Que acompanya al vostre navegador de la Següent Manera iceweasel a: Edita / Preferències / Avançat / Xifratge / alli premem El Botó de Visualitza els certificats Busquem El de DigiNotar i l'eliminem sense contemplacions (aquesta Companyia ja no és de confiança) No us fieu de Lo Que dic, busqueu a internet Informació i veureu Què és cert. Per Altres Navegadors actueu de la mateixa Manera si us és Possible. Apa, salutacions i sort. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110905183825.2e42aafff13eb677713c3...@telefonica.net -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/946778267229161426@unknownmsgid
Re: Fwd: [øŧ] esborrar certificat
El Dilluns 5 Setembre 2011 21:09:54 hubble va escriure: Sembla ser que ja s'han actualitzat els certificats amb el paquet ca-certificates, però el que no entenc és per qué deixen que el certificat estigui, encara que amb les caselles desmarcades. Per mi aquesta empresa no te cap confiança doncs ha tingut la boca tancada pel públic general. Si ens hem enterat és per un sirià que fent servir chrome (que al ser de google si estava asabentada) ells ho havien desabilitat i li va avisar d'un possible MIM, i així va saltat la llebre de manera més pública. És millor deshabilitar que treure, s'evita que es reimporti en un futur i es torni a confiar en l'autoritat certificadora compromesa. Per altra banda, la troballa del sirià amb Chrome és perquè aquest navegador té escrit al codi els certificats de Google. En aquest cas particular ha funcionat, però trobo que és una mala idea: si fos algun certificat de Google el compromès, no tindries forma de desactivar-lo. O si simplement creus que no tens motius per refiar-te'n. Si el criteri a fer servir és el de la transparència, només deixaria com a CA vàlida la meva personal. Com he dit abans, la diferència és que d'aquesta se n'ha fet un gran ressò, però no és el primer cas. Les que he trobat ràpidament (en anglès): http://www.theregister.co.uk/2011/06/21/startssl_security_breach/ http://www.theregister.co.uk/2011/05/24/comodo_reseller_hacked/ http://www.theregister.co.uk/2011/03/23/gmail_microsoft_web_credential_forgeries/ Totes d'enguany. -- Atentament, Eloi Notario. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201109052250.10991.entfe...@gmail.com
Re: Fwd: [øŧ] esborrar certificat
El dl 05 de 09 de 2011 a les 21:09 +0200, en/na hubble va escriure: El Mon, 5 Sep 2011 19:25:31 +0200 tictacbum tictac...@gmail.com va dir: jo faig servir iceweasel 6.0 dels backports ( http://mozilla.debian.net ) i veig que també hi ha els certificats de DigiNotar (i DigiNotar B.V.) però si faig edit trust veig que té totes les opcions desmarcades (this certificate can identify web pages / mail users / software makers) suposo que amb això n'hi deu haver prou gracies per l'avís Gràcies a tu per la info. Sembla ser que ja s'han actualitzat els certificats amb el paquet ca-certificates, però el que no entenc és per qué deixen que el certificat estigui, encara que amb les caselles desmarcades. Per mi aquesta empresa no te cap confiança doncs ha tingut la boca tancada pel públic general. Si ens hem enterat és per un sirià que fent servir chrome (que al ser de google si estava asabentada) ells ho havien desabilitat i li va avisar d'un possible MIM, i així va saltat la llebre de manera més pública. Jo m'he actualitzat la testing i m'han desaparegut aquests certificats. Veig que també han fet una actualització per a l'estable. Un problema que té el paquet ca-certificates és que està orfe, és a dir que ara com ara no té cap mantenidor concret que se'n faci càrrec :-( Salut! Mònica -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1315253964.14787.8.camel@celpetit
