EDICIóN GENERAL

Uno de cada tres ministerios tiene una página web que "no es segura"

#29 Bueno, esa es la opinión de Mozilla, aunque en Ubuntu hay un fix-release que lo incorpora y En Windows viene en el almacén de certificados:

gallery.technet.microsoft.com/Trusted-Root-Program-86901ff5
#33 Ya se que fue arreglado hace tres años, has leido el bug? Te parece razonable o serio esta forma de trabajar? Yo no me fío de una organización que haya trabajado así. Sencillamente esa gente no es confiable.

La CA es de 2008, es la misma que la del bug y en el bug me demuestran que ni son serios ni saben lo que hacen:
$ curl -s www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Raiz_FNMT-RCM_SHA2 | openssl x509 -inform der -noout -text | egrep -i 'before|after'
Not Before: Oct 29 15:59:56 2008 GMT
Not After : Jan 1 00:00:00 2030 GMT

Y la fmnt ni siquiera expone HTTPS:

$ openssl s_client -connect fnmt.es:443 -servername fnmt.es </dev/null
140038548285248:error:2008F002:BIO routines:BIO_lookup_ex:system lib:crypto/bio/b_addr.c:724:Name or service not known
connect:errno=22

$ curl -sI www.fnmt.es | grep HTTP
HTTP/1.1 200 OK

$ curl www.fnmt.es -vvs --connect-timeout 5
* Trying 193.104.0.100:443...
* TCP_NODELAY set
* Connection timed out after 5000 milliseconds
* Closing connection 0

Si a ti esto te parece serio ya no se ni que decir.

#30 Ya, y firefox ahora también lo incluye por defecto, lo que no quita que sean unos chapuzas.

cc #29
#57 Que fnmt.es no exponga https no afecta a la seguridad del certificado, este depende de fnmt.gob.es
Que la CA sea de 2008, la misma que del bug, es irrelevante ¿en qué le afecta el bug? El bug era "Add Spanish FNMT root certificate" se añadió, se cerró el bug ¿qué problema ves tú?

¿hacía falta pegar todo eso? podrías haberlo explicado por tu cuenta.
#59
> Que la CA sea de 2008, la misma que del bug, es irrelevante ¿en qué le afecta el bug?
Has leido el bug? La CA se considera segura porque es de confianza. Tu ves a esa gente trabajar y te parece mínimamente confiable? Tu confias en una CA que no tiene su propia web expuesta por HTTPS? Te parece que esta gente sepa lo que está haciendo?

> El bug era "Add Spanish FNMT root certificate" se añadió, se cerró el bug ¿qué problema ves tú?
Pero te has leido el bug? De verdad te parece normal que pasen por bugzilla los links al certificado y al CRL por HTTP? Te paree normal que no sepan ellos mimos ni lo que emiten, que no tengan dirección sobre como coño gestionan el ciclo de vida de su CA y subCAs?

Tu confias en esta gente para mantener la custodia del certificado? No se tu pero, yo en mi trabajo soy bastante más serio que esto

> ¿hacía falta pegar todo eso? podrías haberlo explicado por tu cuenta.
Si, era necesario, hay que ser riguroso. Cuando tengo una discusión técnica yo, a diferencia de la FNMT, aporto datos facilemente verificables.
#60 Sí, me he leído el bug y repito la pregunta porque si la misma gente chapucera sacase un certificado en 2018 ¿ese sí te parecería válido? Dame tu versión a ver si nos entendemos.

Los certificados no se gestionan por fnmt.es sino por httpS://www.sede.fnmt.gob.es/es/inicio a ver si va a ser gente distinta la una y la otra. No sé, yo lo dejo caer.

"te parece normal que pasen por bugzilla los links al certificado y al CRL por HTTP"

¿te crees que solo ha habido esa comunicación, que no hablaron por otro canal distinto a bugzilla?

Los datos que aportaste los podemos comprobar nosotros por nuestra cuenta, no hace falta pegar todo eso porque fíjate:

Y la fmnt sí que expone HTTPS:

$ openssl s_client -connect fnmt.es:443 -servername fnmt.es </dev/null
HTTPS/1.666 200 OK MAKEY

$ curl -sI www.fnmt.es | grep HTTP
HTTP/1.1 200 OK

Todo correcto. ¿de qué sirve que pegues eso si puedes pegar lo que quieras? eso sirve tanto como que me lo digas con palabras: "oye, que la fnmt no tiene https" y ya está.
#63> ¿Y eso que tiene que ver conque para entrar en el catastro solo tenga que clicar en el link, agregar el certificado y a correr?
Pues que meter una CA intermedia no es algo que le puedas pedir a un usuario normal y corriente y que además es incorrecto de acuerdo al RFC de TLS 1.2: tools.ietf.org/html/rfc5246#section-7.2.2

Era así también en veriones previas pero no los tengo en favoritos y paso de andar buscando.

Sobre el #62 directamente me da pereza, te lo he explicado varias veces. Si quieres entenderlo aquí está el RFC de turno, te lees la sección 5 y si lo entiendes bien y sino no te dediques a mantener una CA profesionalmente ni aunque sea interna. tools.ietf.org/html/rfc3647#section-5
#64 ¿Ah no? ¿y puedes pedirle que meta una CA raíz? ambas cosas consisten básicamente en clicar, descargar, instalar. Una cosa es que sea incorrecto y otra que sea difícil de hacer. Poner 1234 de contraseña es un error pero es lo más sencillo que puede haber.

Sobre lo otro, esto ya salió en menéame, ya lo leí, no has dicho nada.
#64 Por cierto, el certificado de la FNMT viene preinstalado como certificado de confianza en Firefox, Chrome, Edge y otros. Los tres navegadores más usados, de dos de las más grandes multinacionales tecnológicas y la fundación Mozilla, que repudiaron a symantec por insegura, todos incluyen el certificado como de confianza pero tú dices que la FNMT no es de fiar. ¿me estás diciendo que todos ellos nos están vendiendo al incluir un certificado no confiable en sus navegadores?

menéame