Sorpresas en los certificados SSL y TLS

2020-09-01T00:05:59+02:00 | 4 minutos de lectura | Actualizado en 2020-09-01T00:05:59+02:00

@ Samquejo

Sorpresas de seguridad

Desde hoy, los certificados SSL y TLS tan solo tendrán 397 días de vida máxima

A mi me ha pillado por sorpresa, no me lo esperaba

Las prácticas de desarrollo e implementación de sistemas han marcado durante unos años la convención de que los certificados de los sistemas duran unos 2 años. Esto se acabó.

Y todo por que a Apple le ha dado por decir que son mejores 13 meses que 24. En fin. Uno que se tira a la piscina y todos los demás… detrás.

Y todos los demás han sido Google y la Fundación Mozilla. ¿Microsoft? Ni está ni se le espera, pero sus navegadores acatarán esta decisión por la cuenta que les trae.

Para mi, esto va a tener 2 consecuencias.
Imagino que para otros implantadores de soluciones tendrá esto mismo, o muy parecido.

Tengo certificados autofirmados de mis sistemas. Son autofirmados con lo que casi todos los navegadores se quejan. Eso no cambiará.
Tengo certificados de mi CA (y de CA de clientes) con lo que lo que yo emito, yo me lo guiso y yo me lo como. Aquí tampoco habrá mucha historia salvo que tendré que cambiar la agenda de renovación de certificados.
Tengo certificados de CA externas. Aquí si me va a hacer daño.

En cuanto a los certificados autofirmados, bueno, soy yo y mis circunstancias.

¿Es posible hacer algo?

No, ya no.

La decisión de Apple es de hace 6 meses, como podéis ver en el enlace y la posibilidad de comprar un certificado a las entidades externas ya ha vencido.

Y ojo que las entidades ded certificación no querían saber nada de esto. Eso de poner el cazo bien pero trabajar, lo mínimo.
De hecho es tan así, que ninguno de los sitios que he comprobado, han modificado la opción de tiempo de contratación.

Esto puede llevar a 2 cosas.

Se han dado casos durante mucho tiempo de servicios que han quedado, valga la redundancia, fuera de servicio por no renovar un certificado.
Con el cambio, si los procesos no están afinados, financiero que es quien paga y técnico que es quien trabaja, o poniéndolo en términos técnicos, CFO y CTO descoordinados como de costumbre, puede llevar a que un certificado no se renueve o no se instale un certificado renovado.

Otras cosas que se pueden hacer

En un par de servicios tengo los certificados de Let’s Encrypt y es sumamente fácil si tenemos acceso al sistema. Supongo que los que usen paneles raros tendrán otras cosas pero a mi, un ssh, y poco más necesito.
Pues eso.
Teniendo a la EFF ofreciendo certificados gratuitos no veo mucha necesidad de certificados comerciales, más aún cuando tienen una segunda ventaja que ahora contaré.
El problema es que estos certificados solo certifican que el dominio y la máquina son míos, no quien soy.
Bueno, si es que eso es un problema, que no lo veo así.

Consecuencias y otras petisoperias

El razonamiento detrás de tener un período de validez más bajo es principalmente por seguridad y para evitar que usuarios no autorizados utilicen certificados durante demasiado tiempo:

Permite una mayor agilidad al eliminar gradualmente los certificados cuando se descubren vulnerabilidades en los algoritmos de cifrado.
Limita la exposición de un sitio web al compromiso, ya que las claves de cifrado privadas se cambiarían regularmente. Si se roba un certificado TLS privado, una validez de un año limitará la cantidad de tiempo en la que esa vulneración puede ser explotada.
Evita que los proveedores de alojamiento o terceros utilicen un certificado durante mucho tiempo después de que un dominio ya no se use o haya cambiado de proveedor.

El certificado de Let’s Encript se puede gestionar y automatizar por medio de certbot, lo cual supone una ventaja.
Tal como he dicho antes, el certificado comercial pasa de más de 24 a 13 meses por seguridad.
Pues bien, estos certificados tienen una validez de 3 meses, 90 días, como este:

primera captura

Bien, ese es uno de mis certificados gestionados, y ahí podéis ver precisamente lo que comento.

En cuanto a los proveedores que aún siguen ofreciendo certificados de más de 13 meses, a parte del cambio que espero ver en breve, esperaría que si, por ejemplo, se me ocurre comprar un certificado wildcard de un dominio para instalarlo en varios servidores, al menos sean múltiplos de 13, de 397 días.
Y si ya puedo hacer la compra por un múltiplo y desentenderme durante un tiempo determinado, muchísimo mejor.

Por lo demás, si me entero de más cosas, ya las actualizaré o publicaré.

YoVirtualizador en formato podcast. Ahora también en Sospechosos Habituales: https://wt.territoriolinux.es/rss/short.xml
Y sin más, os dejo los enlaces:

Web: https://www.yovirtualizador.com
Grupo de telegram: https://t.me/grupovirtualizador
Podcast: https://www.ivoox.com/podcast-yovirtualizador_fg_f1563806_filtro_1.xml
Canal de youtube: https://www.youtube.com/channel/UC0R70cABSsmC6TFyXth0qPg
Enlace de afiliados de amazon: https://amzn.to/3gX3HmK
Enlace de referidos de la Asociación Podcast: https://www.asociacionpodcast.es/registrarse/socio/?coupon=SB6A70

Página anterior Creando sitio con HUGO 6. Sistema operativo en modo servidor headless

Página siguiente Cuarto capítulo de los vídeos sobre los cursos de HUGO y Virtualización.

Políticas del sitio web YoVirtualizador

Datos actualizados a enero de 2021

YoVirtualizador es la marca de varios proyectos

Podcast de informática profesional. Canal de Youtube sobre el blog, el podcast y de temática profesional. Blog de contenido diverso, con temática BOFH y técnica.

Gracias por la lectura.

En YoVirtualizador no usamos cookies para nada, pero los servicios de discus y analytics recopilan datos en servidores ajenos a YoVirtualizador sin que yo pueda hacer nada.

Este aviso es sólo porque algún político tenía que justificar su existencia, y ahora además hay que redactar.

Legislación aplicable:

Artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos (RGPD)
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (LOPDGDD)

Definición y función de las cookies ¿Qué son las cookies? Una cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario.

¿Qué tipos de cookies utiliza esta página web? Cookies propias: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.

Cookies de terceros: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.

(Lea también: CÓMO UTILIZA GOOGLE LA INFORMACIÓN DE SITIOS WEB O APLICACIONES QUE UTILIZAN NUESTROS SERVICIOS)

Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

Cookies de análisis: Son aquéllas que bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta informativa, productos o servicios que le ofrecemos.

Cookies publicitarias: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.

Asimismo es posible que al visitar alguna pagina web o al abrir algún email donde se publique algún anuncio o alguna promoción sobre nuestros productos o servicios se instale en tu navegador alguna cookie que nos sirve para mostrarte posteriormente publicidad relacionada con la búsqueda que hayas realizado, desarrollar un control de nuestros anuncios en relación, por ejemplo, con el numero de veces que son vistos, donde aparecen, a que hora se ven, etc

Revocación y eliminación de cookies Usted puede permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador, en caso que no permita la instalación de cookies en su navegador es posible que no pueda acceder a alguna de las secciones de nuestra web.

A continuación puede encontrar como acceder a la configuración de las cookies en los principales navegadores:

Internet Explorer: Menú Herramientas -> Opciones de Internet -> Privacidad -> Configuración. También puede consultar el soporte de Microsoft o la Ayuda del navegador. Firefox: Menú Herramientas -> Opciones -> Privacidad -> Historial -> Configuración Personalizada. También puede consultar el soporte de Mozilla o la Ayuda del navegador. Chrome: Menú Configuración -> Mostrar opciones avanzadas -> Privacidad -> Configuración de contenido. También puede consultar el soporte de Google o la Ayuda del navegador. Safari: Menú Preferencias -> Seguridad. También puede consultar el soporte de Apple o la Ayuda del navegador.

En YoVirtualizador todos los comentarios serán bienvenidos pero moderados.

Respetos guardan respetos.

El contenido irrelevante u ofensivo será eliminado.

A partir de esta modificación queda deshabilitado el servicio de comentarios de la web.

Política de cookies

En YoVirtualizador no usamos cookies para nada, pero los servicios de discus y analytics recopilan datos en servidores ajenos a YoVirtualizador sin que yo pueda hacer nada.

Este aviso es sólo porque algún político tenía que justificar su existencia.

Si hace clic en un enlace de afiliado y compra un producto o servicio, es posible que ese comerciante nos pague una tarifa.