#4 Algunos foros como "Vanilla" ya dan esa opción desde hace un tiempo.
10 días después
4 meses después
Lo suyo es hacerla normal, como hasta ahora y poner un bonito checkbox en el perfil para el que quiera HTTPS, como ha hecho google y otras webs, vamos.
Los users nuevos/nabs seguirán por http como si nada, y los que nos importa un pelín la seguridad y sabemos de qué va el tema pues la activamos y si hay que aceptar un certificado sin firmar no importa teniendo las keys por algún lugar en el foro.
A mi me interesaría, ya dije que en el curro me la tienen filtrada y únicamente puedo entrar a través de churroproxis que me dan 0 confianza.
1 año después
Lo de aceptar un certificado SSL inválido solo hay que hacerlo una vez, marcas la casilla de "no volver a preguntar" y fuera.
Con lo que comenta #21 pasaría lo mismo, marcas la casilla de "no volver a preguntar" y ya está.
¡Queremos SSL!
No sabía de este hilo hasta que #37 lo comentó por el hilo de la dw.
He probado por curiosidad con whireshark y es un cachondeo así que me uno a la petición!
Eso es caro eh, me parece una tonteria para este foro, esto se suele usar para temas que hay compras/dinero de por medio.
Pero bueno si sobra el dinero molaria tener el icono verde ahi xD
#40 Thx 4 info, no sabia eso.
#39 cualquiera puede crear un certificado SSL en casa, habilitar el SSL cuesta 0 euros. Otra cosa es que quieras un certificado homologado por las entidades certificadoras oficiales, pero a nosotros lo que nos interesa es que la conexión esté cifrada y eso se puede hacer gratis.
¿Mediasvidas?
Es que no entiendo porque quereis SSL. Si, vale, seguridad, pero vamos, en que medida...
hehe, ssl no es toda seguridad https cualquier plebe que sepa sacar la ssl sabra ver lo que no le importa,
pero seria mas dificil para aquellas personitas indeseadas......... Si se necesita https.
#37 eso es más inseguro si cabe, porque crees que es seguro... pero no.
Si el certificado es inválido es como tener HTTP puro y duro, porque si no lo compruebas contra una CA... ¿quien te asegura que no te han hecho un MITM?
#39 #44 #47 tu contraseña va en texto plano por tu red/internet así que con un sniffer en LAN se puede ver sin dificultades.
#46 existen maneras de comprobar que los certificados son válidos sin tener que recurrir una entidad certificadora oficial, en este mismo hilo ya han propuesto algunas.
#47 cuando te llaman por teléfono, ¿te asomas a la ventana y hablas a gritos para que todos tus vecinos y cualquiera que pase por la calle te puedan escuchar?
#48 y cómo sabes al descargar la firma del certificado de la web (o el certificado de la CA) que no ha habido un MITM y has recibido otra firma/certificado?
Créeme, no es tan fácil. A no ser que descargues el propio certificado de una página HTTPS verificada por una CA que ya tengas, estás expuesto a un MITM en el momento de negociar certificados.
Es un problema clásico: transmitir información segura por un canal no seguro sin usar una autoridad certificadora.
#49 ¿y si te hacen un MITM cuando vas a verificar el certificado y suplantan a la entidad certificadora? ¿Y si, como ya ha pasado en más de alguna ocasión, alguien hackea alguna entidad certificadora e invalida todos los certificados? ¿Y si...?
Usar un certificado inválido es más seguro que no usar ninguno. Punto.
#50 "¿y si te hacen un MITM cuando vas a verificar el certificado y suplantan a la entidad certificadora?"
No pueden, porque el certificado de la CA ya lo tienes preinstalado en Windows, así que o viene infectado (p.ej. un Windows piratilla) o con los certificados de la CA instalados es imposible de hacer un MITM (sin que salgan cartelitos de aviso everywhere).
"¿Y si, como ya ha pasado en más de alguna ocasión, alguien hackea alguna entidad certificadora e invalida todos los certificados?"
Exacto, es el vector de ataque sobre PKI... más que invalidar certificados, colar certificados comprometidos.
El resto de la infraestructura/protocolo es inviolable, y se usa PKI porque, de momento, es la mejor solución (más allá de Web of Trust y demás, que es aún más incómodo y no lo usa ni perry).
De momento es la mejor solución, desde luego mucho mejor que poner certificados sin certificar (de hecho la propia frase "certificado sin certificar" debería hacer sonar bastantes alarmas).
Y sí, en efecto ha pasado... y las CAs han quebrado.
Y aunque haya pasado, eso no hace más seguro usar certificados pirri.
¿Qué escenario es más probable?
- Te inyectan un certificado malicioso con un MITM por no usar CAs.
- Hackean una CA.
Caso cerrado xD
"¿Y si...?"
Bienvenido a la criptografía. Va de "¿y si...?", nunca va de "esperemos que no..."
"Usar un certificado inválido es más seguro que no usar ninguno. Punto."
Ahí tienes razón: si aceptas el certificado y no ha habido MITM, no se podrá hacer MITM después (el certificado se queda guardado).
Sí, es más seguro que sin certificado, pero me sigue pareciendo una solución pobre, pudiéndolo hacer bien.
#51 "No pueden"
Nada es imposible.
"El resto de la infraestructura/protocolo es inviolable"
Díselo a la NSA.
"Bienvenido a la criptografía"
Aquí no se está hablando de criptografía, se está hablando de que MV envía y recibe la información en texto plano para que cualquiera con unos mínimos conocimientos la pueda leer sin permiso.
"Ahí tienes razón"
Lo sé. Yo no he sido el que ha rechazado pagar por un certificado oficial ni quien ha propuesto usar uno creado en plan cutre, díselo a ellos.
No tener SSL es peor que tenerlo, tener un certificado oficial es mejor que tener uno que no lo sea (siempre que lo que queramos sea seguridad, para privacidad mejor crear uno que no tenga nada que ver con las entidades certificadoras oficiales).
9 meses después
5 meses después
no quiero ser pesado, y no es que la contraseña que tengo para mediavida sea para tirar cohetes, pero unos mínimos creo que debemos tener.
7 días después
Me voy a repetir, pero SSL para un foro, aunque sea el mejor foro, no hace ningún sentido.
Para el login, si.
Por la web mas rapida, mas abierta y con mas sentido.
Para la pass y si apuras para los PM, para el resto no tiene sentido encriptar lo que vas a decir en un foro que no es privado, salvo que no quieras que te pillen en el curro/loquesea y aun asi ahi se va a trabajar, no a eso xD
