EDICIóN GENERAL

Uno de cada tres ministerios tiene una página web que "no es segura"

#58
> Si en algún caso particular necesitas un certificado subordinado que no viene preinstalado, instalarlo es trivial.

Toda negociación TLS necesita incluir toda la CA chain, salvo el root CA que es opcional ya que se puede obtener a partir del issuer. No hay discusión posible, lo dicen varios RFC y en el caso de versiones recientes de TLS si no se incluye es un fatal, todo lo demás son chapuzas.
#61 ¿Y eso que tiene que ver conque para entrar en el catastro solo tenga que clicar en el link, agregar el certificado y a correr?
#63> ¿Y eso que tiene que ver conque para entrar en el catastro solo tenga que clicar en el link, agregar el certificado y a correr?
Pues que meter una CA intermedia no es algo que le puedas pedir a un usuario normal y corriente y que además es incorrecto de acuerdo al RFC de TLS 1.2: tools.ietf.org/html/rfc5246#section-7.2.2

Era así también en veriones previas pero no los tengo en favoritos y paso de andar buscando.

Sobre el #62 directamente me da pereza, te lo he explicado varias veces. Si quieres entenderlo aquí está el RFC de turno, te lees la sección 5 y si lo entiendes bien y sino no te dediques a mantener una CA profesionalmente ni aunque sea interna. tools.ietf.org/html/rfc3647#section-5
#64 ¿Ah no? ¿y puedes pedirle que meta una CA raíz? ambas cosas consisten básicamente en clicar, descargar, instalar. Una cosa es que sea incorrecto y otra que sea difícil de hacer. Poner 1234 de contraseña es un error pero es lo más sencillo que puede haber.

Sobre lo otro, esto ya salió en menéame, ya lo leí, no has dicho nada.
#64 Por cierto, el certificado de la FNMT viene preinstalado como certificado de confianza en Firefox, Chrome, Edge y otros. Los tres navegadores más usados, de dos de las más grandes multinacionales tecnológicas y la fundación Mozilla, que repudiaron a symantec por insegura, todos incluyen el certificado como de confianza pero tú dices que la FNMT no es de fiar. ¿me estás diciendo que todos ellos nos están vendiendo al incluir un certificado no confiable en sus navegadores?

menéame