Historias
Slashboxes
Comentarios
 

Let's Encrypt, vigencia de los certificados y Wildcard

Entrada escrita por Luis Digital y editada por nettizen el Lunes, 14 Septiembre de 2015, 21:11h   Printer-friendly   Email story
Me gustaría escuchar sus opiniones sobre el proyecto Let's Encrypt y su negativa a dar más de 90 días a sus certificados, así como no ofrecer certificados para sub-dominios globales, sino que se tengan que registrar uno por uno. Ya en el foro varios usuarios han explicado la necesidad de cada cosa, pero los administradores se niegan a ofrecer el servicio, aunque han admitido sus beneficios. ¿Será que quieren tener registrados todos los datos de dominios y sub-dominios? ¿Un año no parece más conveniente para la vigencia?

Update: 09/15 11:01 GMT by nettizen : como el propio autor de la noticia informa, hoy se ha emitido el primer certificado de Let's Encrypt.

Historias relacionadas

[+] Let's Encrypt, vigencia de los certificados y Wildcard 16 comentarios
Me gustaría escuchar sus opiniones sobre el proyecto Let's Encrypt y su negativa a dar más de 90 días a sus certificados, así como no ofrecer certificados para sub-dominios globales, sino que se tengan que registrar uno por uno. Ya en el foro varios usuarios han explicado la necesidad de cada cosa, pero los administradores se niegan a ofrecer el servicio, aunque han admitido sus beneficios. ¿Será que quieren tener registrados todos los datos de dominios y sub-dominios? ¿Un año no parece más conveniente para la vigencia?

Update: 09/15 11:01 GMT by nettizen : como el propio autor de la noticia informa, hoy se ha emitido el primer certificado de Let's Encrypt.

Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • por jperex (53608) el Domingo, 13 Septiembre de 2015, 21:05h (#1371927)
    ( Última bitácora: Lunes, 21 Septiembre de 2015, 21:36h )
    Sobre la vigencia de los certificados durante 90 días [letsencrypt.org] explican que el proceso de renovación estará automatizado, así que no debería suponer mucho esfuerzo renovar cada tres meses, en lugar de una vez al año.

    Los certificados multidomain [letsencrypt.org] se están estudiando; los certificados wildcards [letsencrypt.org] se han descartado.

    [ Responder ]
  • Para el editor

    (Puntos:2, Informativo)
    por Luis Digital (803) el Martes, 15 Septiembre de 2015, 00:20h (#1371966)
    ( http://www.luisdigital.com/ | Última bitácora: Viernes, 18 Septiembre de 2015, 01:45h )
    Hoy anunciaron que está en funcionamiento públicamente su primer certificado [letsencrypt.org], aunque hay "fraude", porque no es válido, y para colmo un sub-dominio de ellos mismos.
    --
    La verdad es menos creíble que la mentira. 08:22 A.M. - 04/08/01 No dejes que una mancha oscurezca tu vida.
    [ Responder ]
    • Re:Para el editor de pussylover (Puntos:2) Martes, 15 Septiembre de 2015, 14:41h
      • Re:Para el editor de Luis Digital (Puntos:1) Martes, 15 Septiembre de 2015, 16:15h
        • Re:Para el editor de Luis Digital (Puntos:2) Martes, 15 Septiembre de 2015, 20:05h
          • Petnames de Ricardo Estalmán (Puntos:2) Martes, 15 Septiembre de 2015, 20:51h
            • Re:Petnames de Luis Digital (Puntos:1) Martes, 15 Septiembre de 2015, 21:03h
        • Re:Para el editor de elgrancajuna (Puntos:2) Viernes, 18 Septiembre de 2015, 07:05h
        • 1 respuesta por debajo de tu umbral de lectura actual.
    • 1 respuesta por debajo de tu umbral de lectura actual.
  • por pleyades (544) el Jueves, 17 Septiembre de 2015, 22:58h (#1372040)
    ( http://barrapunto.com/ | Última bitácora: Jueves, 09 Abril de 2015, 14:15h )

    Let's encrypt parece intentar resolver tres problemas:

    1. Simplificar la petición e instalación de certificados en servidores web (no contempla certificados personales para firma. ej email) haciéndolo todo automático.
    2. Renovar automáticamente el certificado cuando cuando caduca e instalarse automáticamente en el servidor web.
    3. Dar certificados gratis

    ¿Y sí solo quiero certificados gratis y yo ya me ocuparé del resto? ¿Habrá alguna opción para hacerlo como ahora?

    Por lo que he entendido, no. Y eso me preocupa. Let's encrypt no habría llamado la atención sin los certificados gratis. Y, a la vista de Snowden y NSA, lo de "gratis" en este caso tiene una preocupante pinta de cebo

    La verdad es que los dos primeros puntos son bastante irrelevantes.

    • Si tienes un sitio personal en una de las compañías de hosting, no puedes instalar let's encrypt (es un demonio root).
    • Si tienes acceso root y no sabes como pedir e instalar un certificado, aprende YA o cambia de profesión.
    • Si tienes acceso root y llevas algunos servidores, ¿Realmente quieres, por ahorrate 10 minutos al año por certificado, instalar un demonio root para algo tan delicado como las claves privadas, certificados etc? Yo manejo una docena de certificados y jamás me he molestado en buscar ningún script para generarlos.
    • Si eres un profesional de un datacenter que maneja multitd de certificados, seguro que ya tienes scripts que lo hacen.

    ¿Cual puede ser el futuro? Casi todas las compañías de hosting se lo instalarán para ofrecer certificados gratis a sus clientes. Las empresas para sus dominios clase 3 que no hacen transacciones económicas (todos menos bancos, visa etc) lo usarán. A la larga, estarán por todas partes, no sólo estos certificados gratis, sino los correspondientes demonios corriendo con acceso root para una tarea que se hace cada 90 días, aunque debería hacerse cada año.

    ¿Cuánto tiempo tardarán en detectarse vulnerabilidades? Yo ya veo cosas molestas

    Para empezar, ¿90 días? Todos usan un año, e incluse sería mejor para ellos, reducirían el número de renovaciones. ¿por qué? Así si que es molesto y "útil" un demonio

    Sigamos: El número de serie del certificado, en lugar de ser secuencial, como en todas partes, añade una parte aleatoria. ¿Para qué? dan un justificación que a mí me parece bastante peregrina. A saber si esos esos 64 bits no son aleatorios

    Planean pasar de RSA a cifrado curvas elípticas, un sistema de cifrado con unas constantes un tanto misteriosas [schneier.com]

    PD: Si ponen un sistema que yo pueda generar el CSR, enviárselo y que me envéen el certificado firmado, me comeré mis palabras, mientras, 8 euros y 10 minutos al año no me justifican un demonio root.

    [ Responder ]