gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
SSL de Borla
Contribuído por BladeRunner em 12-02-04 18:19
do departamento dos-certificados-à-borla
Cifragem humpback escreve "A algum tempo falei aqui da FreeSSL.com que tinha na altura certificados de borla válidos por 1 ano. A campanha terminou a muito e os certificados estão prestes a expirar, por isso ando a procura de alternativas.
Respostas como "Qual é o problema de certificados self-signed?" revelam alguma ignorância sobre a matéria e devem ser enviadas para /dev/null :)
Já agora, autenticação por telefone continua a ser bem vinda e aceitável :)"

Python em telemóveis... Perl soon | Programa Sócrates / Erasmus  >

 

gildot Login
Login:

Password:

Referências
  • aqui
  • FreeSSL.com
  • Mais acerca Cifragem
  • Também por BladeRunner
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    cacert.org (Pontos:1)
    por nhoc em 12-02-04 19:52 GMT (#1)
    (Utilizador Info)
    Que tal CA Cert
    Re:cacert.org (Pontos:3, Esclarecedor)
    por spyder em 12-02-04 20:08 GMT (#2)
    (Utilizador Info)
    Segundo paragrafo: "If you are looking to have your web browser trust our certificates, please install our root certificate."
    Ou, por outras palavras, nao serve como solucao.
    Re:cacert.org (Pontos:2)
    por CrLf em 12-02-04 21:16 GMT (#3)
    (Utilizador Info) http://crodrigues.webhop.net
    É claro que por esse ponto de vista nada serve como solução, apenas comprar certificados à Verisign ou similares. A multicert também requer a instalação do seu root certificate e funciona...

    -- Carlos Rodrigues
    Re:cacert.org (Pontos:2)
    por vd em 12-02-04 21:26 GMT (#4)
    (Utilizador Info) http://paradigma.co.pt/~vd
    Requer porque a Multicert e' CA e não RA.

    //vd
    Re:cacert.org (Pontos:2)
    por CrLf em 12-02-04 22:56 GMT (#6)
    (Utilizador Info) http://crodrigues.webhop.net
    Sim, eu usei-a como exemplo exactamente porque não faz parte de uma cadeia de verificação que termine numa das Root CAs cujos certificados já vêm incluidos com os browsers.

    -- Carlos Rodrigues
    Re:cacert.org (Pontos:2)
    por spyder em 13-02-04 0:26 GMT (#10)
    (Utilizador Info)
    Sim, faz. Como disse acima, o certificado Multicert-CA e' assinado pela GTE Cybertrust, e funciona transparentemente em qualquer browser minimamente recente desde cerca de Junho de 2002.
    Re:cacert.org (Pontos:2)
    por CrLf em 13-02-04 1:38 GMT (#13)
    (Utilizador Info) http://crodrigues.webhop.net
    Ok, estava enganado então. Da última vez que experimentei (já foi há uns tempos largos) era preciso instalar o root certificate da Multicert a partir do site deles.

    -- Carlos Rodrigues
    Re:cacert.org (Pontos:2)
    por spyder em 13-02-04 0:07 GMT (#8)
    (Utilizador Info)
    Isso nao e' necessariamente um motivo para instalar o certificado num browser, basta que tenha acima dela uma RA e que te envie a chain correctamente.
    Olha por exemplo para a informacao SSL disto. (passe a publicidade). Nao tens o certificado dessa CA no teu browser, mas funciona porque tens o da RSA.
    Re:cacert.org (Pontos:1)
    por amatos em 13-02-04 9:54 GMT (#17)
    (Utilizador Info)
    Olha por exemplo para a informacao SSL disto. (passe a publicidade). Nao tens o certificado dessa CA no teu browser, mas funciona porque tens o da RSA.

    Antes de mais, o topo da cadeia de certificados (a raiz) pertence à VALICERT e não à RSA como referido

    No entanto, e para o caso específico, não será estranho o facto da VALICERT possuir na sua página principal (https://www.valicert.com) um certificado emitido pela VERISIGN????

    Será que a própria VALICERT não confia nos seus próprios certificados???

    Infelizmente, é sempre o mesmo problema: Os Portugueses tentam sempre dar a volta à situação - É UMA QUESTÃO DE CONFIANÇA - simplesmente comprem um certificado que vos ofereça garantia (e aos clientes) de que o mesmo foi emitido seguindo todas as regras de autenticação e verificação.

    Passando a publicidade, a minha opção recairia (sem margem para dúvidas) pela VERISIGN - sabiam que têm um representante em Portugal: a CERTISIGN?


    Re:cacert.org (Pontos:3, Interessante)
    por spyder em 13-02-04 23:40 GMT (#21)
    (Utilizador Info)
    Antes de mais, o topo da cadeia de certificados (a raiz) pertence à VALICERT e não à RSA como referido

    Eu nunca disse que o topo era a RSA, disse que tinha o cert da RSA no meu browser. E tenho, out-of-the-box.

    $ grep -A 6 be:1c:9f:d2:cd:b5:84:a6:80:73:63:66:d5:65:f8:2d /usr/share/ssl/certs/ca-bundle.crt

    be:1c:9f:d2:cd:b5:84:a6:80:73:63:66:d5:65:f8:2d
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: L=ValiCert Validation Network, O=ValiCert, Inc., OU=ValiCert Class 3 Policy Validation Authority, CN=http://www.valicert.com//emailAddress=info@valicert.com
    Validity
    Not Before: Apr 30 15:30:19 2002 GMT
    Not After : Apr 30 09:21:55 2019 GMT
    Subject: O=RSA Security Inc., CN=RSA Public Root CA v1/emailAddress=rsakeonrootsign@rsasecurity.com

    Qualquer um pode fazer o mesmo "grep" no seu ca-bundle para confirmar.

    Será que a própria VALICERT não confia nos seus próprios certificados???

    Nem sei, nem estou interessado em saber. Desde que os certificados das CA que eles assinam funcionem... E convenhamos que estes tais de RSA Security Inc não são uns completos desconhecidos no mercado, e como fizeste questão de apontar foram certificados pela Valicert (a tal com falta de auto-confiança)...

    simplesmente comprem um certificado que vos ofereça garantia (e aos clientes) de que o mesmo foi emitido seguindo todas as regras de autenticação e verificação.

    o que, como eu estava a dizer acima, é qualquer certificado que esteja numa chain reconhecida por qualquer browser, mesmo que tenha sido acabado de instalar de fresco, em oposição ao "qualquer certificado da Verisign" como pareces estar a querer dizer.

    Passando a publicidade, a minha opção recairia (sem margem para dúvidas) pela VERISIGN - sabiam que têm um representante em Portugal: a CERTISIGN?

    Curiosamente, sabia, amatos. O que para mim foi mais curioso foi fazer esta pesquisa no Google, e reparar que por acaso há um Álvaro Matos que trabalha (ou trabalhou) na Certisign; pode ser coinicidência, mas o mais provável é que essa inquestionável opção, em maiusculas e tudo, seja um bocadito biased, não? :)
    E mesmo esquecendo isso, qualquer profissional de Internet que preze aquilo que faz deve ter um ódio de estimação pela Verisign graças ao SiteFinder.
    Re:cacert.org (Pontos:1)
    por amatos em 16-02-04 16:12 GMT (#24)
    (Utilizador Info)

    Antes de mais, uma das grandes vantagens dos grupos de discussão reside no facto dos utilizadores poderem ser anónimos - característica de que não abdico - cada um que suponha e tire as ilações que desejar: nunca tentei, nem tentarei, fazer qualquer tipo de associação dos nickname com hipotéticas pessoas físicas.

    Como deves saber, Spyder, um certificado apenas é válido se toda a cadeia (até à raiz) for toda ela válida - de que serve um certificado intermédio da RSA se a chave privada do seu emissor (a Valicert) for comprometida ou cair em descrédito?
    É uma das desvantagens da tecnologia PKI: sempre que uma chave é comprometida, toda a sua subhierarquia também o é!

    ...qualquer profissional de Internet que preze aquilo que faz deve ter um ódio de estimação pela Verisign graças ao SiteFinder.

    Eu diria antes: "qualquer profissional de Internet que preze aquilo que faz deve saber distinguir os melhores produtos/serviços existentes no mercado, e escolher aquele que apresente a melhor relação qualidade/preço, dentro dos condicionalismos eventualmente existentes."
    Mais, um bom profissional (seja ou não de TI) não se rege por ódios, mas sim pelas suas necessidades e pelas mais valias que poderá obter para o seu produto/serviço final.

    Re:cacert.org (Pontos:2)
    por spyder em 13-02-04 0:23 GMT (#9)
    (Utilizador Info)
    Isso ja' nao e' verdade ha bastante tempo, o certificado da Multicert esta' assinado pela GTE. Se algum site com certificados da Multicert precisa do certificado da Multicert no browser, esse site esta' mal configurado (nao esta' a passar devidamente a chain). Confirme-se, por exemplo, no https://www.multicert.pt/, que funciona lindamente sem instalacao de certificado nenhum.
    Adiante. Relaccionado com o que esta' acima, mas nao necessariamente (ie, nao dirigido a nenhum caso em concreto): O uso de CAs que nao sao reconhecidas automagicamente e' aceitavel para ambientes controlados (digamos, sites internos, assinaturas digitais dentro da empresa/grupo/relacoes b2b/whatever, software SSL desenhado in-house e que reconheca a CA out-of-the-box, autenticacao end-to-end), mas pessoalmente acho conceptualmente errado (e confuso para os utilizadores) requerer a instalacao de um certificado num browser para que as pessoas possam ver um site publico "sem dar avisos ou erros".
    A certificacao serve em parte para dar `as pessoas a ideia de confianca implicita na identidade de um site ("porque o meu computador/browser/sistema confia e garante"), e pedir a essas mesmas pessoas para o fazerem explicitamente (instalando o cert da CA) vai contra isso;
    Mais ainda: para a maior parte dos consumidores, ler "Multicert", "Verisign", ou "TrampaSec" vai dar ao mesmo, sao nomes que nao lhes dizem nada. Tendo isto em conta, o que me impede de montar alguns sites SSL assinados com o cert da TrampaSec, e pedir gentilmente `as pessoas para irem ao site da TrampaSec (que tambem e' minha, mas so' por acaso) instalar o root certificate, e voltarem depois, ja' sem avisos? E' verdade, os avisos pararam, e agora posso alegremente usar os dados de cartoes de credito ;)
    Re:cacert.org (Pontos:1)
    por nhoc em 13-02-04 8:45 GMT (#14)
    (Utilizador Info)
    Julgo que em breve o mozilla vai ter este certificado instalado de raiz.
    Re:cacert.org (Pontos:2)
    por humpback em 13-02-04 0:57 GMT (#12)
    (Utilizador Info) http://www.felisberto.net
    Bem, eu ate tentei, agora o problema é alguem que verifique a minha identidade.....
    Gustavo Felisberto
    72ef1d7183eb2ea89420b94c0cf3e1f1
    apt-get install anarchism
    sslreview (Pontos:1)
    por jcma em 12-02-04 22:19 GMT (#5)
    (Utilizador Info)
    eu também ando de volta disso.
    acho que estou mais apontado para digicert
    mas ainda nao me decidi.
    podes sempre ver sslreview para ficar com uma melhor ideia, mais precisamente isto.
    Re:sslreview (PUB) (Pontos:1)
    por RaTao em 13-02-04 0:48 GMT (#11)
    (Utilizador Info)
    O sslreview.com é um site de publicidade para o freessl.com. (ponto final)

    Como é que te decidiste pelo digicert.com (que nem sequer conheço, mas ok...) num site feito para escolheres o freessl.com ou o geotrust.com é que é um mistério para mim :-)


    Regards,
    Nuno Silva aka RaTao
    Re:sslreview (PUB) (Pontos:1)
    por jcma em 13-02-04 9:15 GMT (#15)
    (Utilizador Info)
    falaram-me do digicert. quanto ao sslreview, e' sempre bom ver uns comparativos...
    Re:sslreview (PUB) (Pontos:1)
    por RaTao em 13-02-04 9:56 GMT (#18)
    (Utilizador Info)
    Não estás a perceber... Verifica, por exemplo, quem é o admin contact tanto do sslreview.com como do freessl.com.

    Não gosto nada deste tipo de sites, que aparentam ser independentes mas têm o objectivo de atirar o pessoal numa determinada direcção...


    Regards,
    Nuno Silva aka RaTao
    Re:sslreview (PUB) (Pontos:1)
    por jcma em 13-02-04 12:08 GMT (#20)
    (Utilizador Info)
    got it
    Re:sslreview (PUB) (Pontos:1)
    por jcma em 13-02-04 9:15 GMT (#16)
    (Utilizador Info)
    falaram-me do digicert.

    quanto ao sslreview, e' sempre bom ver uns comparativos...
    snif, nostalgia (Pontos:1)
    por New_Wave em 12-02-04 23:42 GMT (#7)
    (Utilizador Info) http://www.terravista.pt/BaiaGatas/4598/
    Saudades da Certipor, snif.
    New Wave "May The Peace Be Green"
    É tudo uma questão de confiança (Pontos:1)
    por amatos em 13-02-04 10:10 GMT (#19)
    (Utilizador Info)
    Todas as entidades referidas emitem certificados perfeitamente válidos e funcionais para a maioria dos servidores e browsers existentes.

    No entanto, a questão não é apenas técnica - o que se deseja no processo é cativar a CONFIANÇA dos clientes!

    Será que o custo de um certificado da verisign (ver o seu representante em Portugal) é assim tão elevado, quando com ele se poderá cativar mais clientes?


    Re:É tudo uma questão de confiança (Pontos:3, Informativo)
    por spyder em 14-02-04 0:06 GMT (#22)
    (Utilizador Info)
    A confianca dos clientes cativa-se com o aparecimento "magico" do cadeado no canto do browser, ou com o "Identity Verified" no cliente de mail.
    "Verisign" nao e' um household name, (como muita gente provavelmente conseguiu perceber na altura do SiteFinder, com toda a gente a perguntar-lhes "quem raios sao estes gajos?") e a grande maioria dos consumidores nem sabe o que e' um certificado.
    Existe uma vaga nocao de que "cadeado == seguro", "medalhazinha no outlook == identidade confirmada", e e' isso que tem que ser satisfeito. Quanto mais barato, melhor, desde que funcione.
    Re:É tudo uma questão de confiança (Pontos:2, Informativo)
    por amatos em 16-02-04 15:11 GMT (#23)
    (Utilizador Info)
    A confianca dos clientes cativa-se com o aparecimento "magico" do cadeado no canto do browser

    Numa PKI, a tecnologia é APENAS um dos componentes (talvez não o mais importante), de onde se destacam a infraestrutura de segurança, a performance, a disponibilidade, e acima de tudo as práticas e as políticas de autenticação.
    Se consultares a legislação existente, poderás facilmente encontrar alusões a este conceito, nomeadamente no que se refere à sua existência, publicação e auditoria.

    Os utilizadores até podem não saber como os certificados são emitidos e/ou utilizados, mas com certeza estará muito receptivo a qualquer notícia pública que descredebilize a Autoridade Certificadora que os emite. Tal poderá ter repercussões (por vezes com custos elevadíssimos) para as entidades que os utilizam.
    Também por isso é que quase todas as Autoridades Certificadoras (que merecem alguma confiança) possuem um seguro de responsabilidade civil - em Portugal, tal também está preconizado (Portaria n. 1370/2000, de 12 de Setembro).

    Quanto mais barato, melhor, desde que funcione

    Como em tudo, existem sempre dois caminhos: o que dá ênfase à qualidade (deixando para segundo plano o custo) e o da quantidade (onde prevalece o baixo custo, em detrimento da qualidade do produto/serviço). Obviamente, cada um opta pela solução que mais lhe convém!
    Já a minha Avó dizia: "O barato às vezes sai caro". Senão vejamos: tecnicamente falando, tudo isto se pode resumir à simples inclusão nos browsers do certificado de raiz de uma qualquer AC. Como é do conhecimento geral, tal é efectuado através do pagamento de um determinado montante (considerável) à Microsoft, Netscape, etc, podendo depois emitir os certificados da forma que desejar (com ou sem qualquer tipo de validação). Cada um que tire as suas conclusões...

     

     

    [ Topo | FAQ | Editores | Contacto ]