El equipo de Seguridad de Chrome propone públicamente que el año que viene los navegadores web empiecen a marcar como "inseguras" las webs que no cifren sus comunicaciones con HTTPS. El desarrollador de Google Chris Palmer acaba de anunciar esta idea en una lista de correo sobre seguridad del Consorcio del World Wide Web, y cita como entre otros argumentos algunos ataques de espionaje masivo descubiertos en los últimos tiempos.
#8 Ahora mismo limitar la navegación a webs seguras con certificados en regla convertiría Internet en un lugar elitista.
Prácticamente sólo se lo podrían permitir empresas que obtienen algún tipo de beneficio. Obtener un certificado válido es caro y muchas páginas personales, webs de proyectos de software libre etc no se lo podrían permitir.
Y sí, poner una página de aviso como el actual de Chrome con los certificados autofirmados, es limitar el acceso a estas páginas. Muchos usuarios comunes no saben como salir de ahí o no se atreven.
Por lo tanto, la idea es interesante, pero antes habría que ofrecer una alternativa como la que menciona #5 que todavía no está en marcha.
#11 Es un problema de falta de información. StartSSL tiene certificados básicos ilimitados y gratuitos. De sobra para la mayoría de los casos. Por 50€ anuales tienes certificados wildcard ilimitados. Por unos 100€ verificación extendida. Vamos, gratis para la mayoría y muy barato para los casos avanzados.
Además, Mozilla y la EFF empezarán a expedir certificados gratis a partir del año que viene.
Ya que estamos. ¿Alguien podría explicarne la diferencia entre un certificado gratuito de esos que mencionáis y uno de pago, en cuanto a seguridad? ¿El hecho de pagar hace tu web más segura? Nunca he entendido cómo funciona realmente.
El aviso está bien, aunque Google se pasa en sus medidas para el acceso. Aunque desees hacerlo te lo pone muy complicado y a veces es frustrante. Necesita una interfaz más intuitiva y menos alarmista y que cada uno valore como desee.
#7 Es que un certificado no válido debe hacer saltar todas las alarmas. Si no fuese así todo el sistema no tendría sentido. En lugar de pedir menos seguridad en los navegadores deberíamos pedir a los administradores que usen certificados válidos.
Comentarios
Let's Encrypt: https://letsencrypt.org
Relacionadas:
Lanzamiento en 2015: Una autoridad certificadora (CA) para encriptar toda la web
Lanzamiento en 2015: Una autoridad certificadora (CA) para encriptar toda la web [Eng]
Lanzamiento en 2015: Una autoridad certificadora (...
eff.orgLet's Encrypt: HTTPS más sencillo
Let's Encrypt: HTTPS más sencillo
Let's Encrypt: HTTPS más sencillo
barrapunto.com#8 Ahora mismo limitar la navegación a webs seguras con certificados en regla convertiría Internet en un lugar elitista.
Prácticamente sólo se lo podrían permitir empresas que obtienen algún tipo de beneficio. Obtener un certificado válido es caro y muchas páginas personales, webs de proyectos de software libre etc no se lo podrían permitir.
Y sí, poner una página de aviso como el actual de Chrome con los certificados autofirmados, es limitar el acceso a estas páginas. Muchos usuarios comunes no saben como salir de ahí o no se atreven.
Por lo tanto, la idea es interesante, pero antes habría que ofrecer una alternativa como la que menciona #5 que todavía no está en marcha.
#11 Es un problema de falta de información. StartSSL tiene certificados básicos ilimitados y gratuitos. De sobra para la mayoría de los casos. Por 50€ anuales tienes certificados wildcard ilimitados. Por unos 100€ verificación extendida. Vamos, gratis para la mayoría y muy barato para los casos avanzados.
Además, Mozilla y la EFF empezarán a expedir certificados gratis a partir del año que viene.
Vale, pero las instituciones publicas tipo FNMT deberían ofrecer certificados gratuitos.
#2 Ah si, la FNMT, esa que hace que te salte la alerta de certificado inválido https://www.sede.fnmt.gob.es/documents/11614/75209/solicitud_certificado_usuario/76f6060a-eba6-4b68-9139-30670a8ac215
#2 Yo confiaría más en http://techcrunch.com/2014/11/18/mozilla-eff-and-others-band-together-to-provide-free-ssl-certificates/
El fracaso de las instituciones españolas respecto a los certificados daría risa si no se hubieran jodido el dinero.
#4 la pagina de Red.es da una alerta de seguridad por tener el certificado caducado https://www.nic.es
Esto como lo de las cookies, pelas para quien actualiza webs, putada para las empresas
Y las de AEDE también
Páginas potencialmente inseguras: HTTP y las auto-certificadas, porque el certificado puede ser falso.
Salu2
#8 Vamos un nuevo negocio, los certificados. Como son baratos...
Mientras tanto, a modo de apaño para algunas webs se puede usar alguna extensión como https everywhere
Ya que estamos. ¿Alguien podría explicarne la diferencia entre un certificado gratuito de esos que mencionáis y uno de pago, en cuanto a seguridad? ¿El hecho de pagar hace tu web más segura? Nunca he entendido cómo funciona realmente.
Es una idea interesante.
El aviso está bien, aunque Google se pasa en sus medidas para el acceso. Aunque desees hacerlo te lo pone muy complicado y a veces es frustrante. Necesita una interfaz más intuitiva y menos alarmista y que cada uno valore como desee.
#7 Es que un certificado no válido debe hacer saltar todas las alarmas. Si no fuese así todo el sistema no tendría sentido. En lugar de pedir menos seguridad en los navegadores deberíamos pedir a los administradores que usen certificados válidos.