Tecnología, Internet y juegos
294 meneos
3704 clics
Chrome rechazará los certificados de Camerfirma utilizados por la Agencia Tributaria

Chrome rechazará los certificados de Camerfirma utilizados por la Agencia Tributaria

Después de una larga discusión en el seno de la fundación Mozilla, el equipo de seguridad de Google Chrome ha decidido dejar de confiar en los certificados emitidos por la autoridad de certificación española Camerfirma, utilizada entre otros organismos de la administración, por la Agencia Tributaria.

| etiquetas: camerfirma , aeat , chrome
135 159 0 K 322
135 159 0 K 322
Comentarios destacados:                
#10 #4 Después de dejarte los piños y el alma en explicarle a los lusers que ante la duda, todo aquello que de error de certificado NO DEBEN DE ENTRAR, ahora ve tu y les explicas que le das a confiar y p'alante. Antes de una semana tendrás todos los equipos plagados de pop-ups publicitarios de porno mientras minan bitcoins para unos rusos o norcoreanos.
La que está liando Carmerfirma
#1 ¡no te lo perdonaré jamás Carmefirma!
Tienen issues por un tubo abiertas desde hace años.. mucho han tardado en retirarla. Demuestran una gestion de lo mas poco confiable en alguien cuyo servicio es dar confianza, precisamente
#7 ¿Dónde están esos issues? ¿Son públicos?

Edit: Me autorespondo: wiki.mozilla.org/CA:Camerfirma_Issues
#53 Por aqui se toman a cachondeo este tema, pero la importancia de una entidad de certificación es mucha hoy en día..
Toda nuestra identidad en Internet y la de servidores a los que te conectas dependen de que una certificadora (Prestador de Servicios de Confianza se llaman... CONFIANZA) diga que tú eres tú.. Y para eso deben tener procedimientos serios de identificacion de quienes reciben sus certificados y cómo se gestionan, renuevan, etc.. Los navegadores se la juegan si admiten demasiada…   » ver todo el comentario
Pero si hay que usar Internet Explorer para acceder a las páginas de la administración, cuál es el problema? :troll:
#14 pues yo entro desde Firefox en Linux hace años Sin ningún problema
No tiene desperdicio los issues wiki.mozilla.org/CA:Camerfirma_Issues:

Issue T: Failure to disclose unconstrained sub-CA (MULTICERT) (2018 - 2020)
In the course of resolving Issue R, it was further discovered in July 2018 that Camerfirma had failed to disclose two additional sub-CA certificates, operated by MULTICERT. Mozilla Policy required that such sub-CAs be disclosed within one week of creation.

Camerfirma's explanation at the time was that they failed to consider that the

…   » ver todo el comentario
Pues nada, a seguir con Firefox
Ouch, Firefox también próximamente.
#2 Reportado por leerse la noticia :-D
¿Por qué los certificados de webs oficiales dependen de una CA privada? Es decir, hay varias Autoridades Certificadoras, además de la FNMT, la DGP y seguro que hay más organismos. ¿No sería lo lógico que hubiese una CA para los organismos públicos?
#28 pero eso no dejaría lugar a subcontratas Bro, de que van a comer?
#28 Para que una CA aparezca en como "confiable" en los almacenes de los navegadores debe cumplir una serie de requisitos bastante estrictos, pasar auditorías, etc. la FNMT tardó años en cumplir dichos requisitos y por eso Firefox no la incorporó hasta entonces. Es decir, por mucho que sea un organismo público, la CA debe cumplir los requisitos al igual que las "privadas" y pueden tener los mismos problemas (o no) que los que ha tenido Camerfirma. Y serían revocados con…   » ver todo el comentario
#50 Me parece perfecto que los requisitos sean los mismos para cualquier CA. Sobre todo me parece perfecto que esos requisitos sean públicos, conocidos y verificados, no sólo por los desarrolladores de navegadores. Me imagino que la administración debería tener medios suficientes para cumplir esos requisitos y mantenerlos y por eso no veo la necesidad de delegar en terceros el certificar que una página pertenece a la administración. Tampoco es que me guste que poder entrar o no sin problemas en una página de la administración de mi país dependa de un tercero, por muy ong, fundación, independiente o bien intencionado o lo que sea que diga que es.
Lo de los certificados en las webs oficiales españolas supongo que se estudiará en las carreras en otros paises, no?
¿Esto es eso que te pregunta si realmente confías en ese certificado, le dices que sí y continúas sin más problemas?
#4 a veces ni diciendo que sí entras... :clap:
#4 Después de dejarte los piños y el alma en explicarle a los lusers que ante la duda, todo aquello que de error de certificado NO DEBEN DE ENTRAR, ahora ve tu y les explicas que le das a confiar y p'alante. Antes de una semana tendrás todos los equipos plagados de pop-ups publicitarios de porno mientras minan bitcoins para unos rusos o norcoreanos.
#10 Estaba pensando en mi mundo personal con mi ordenador, en el que sé si estoy entrando en la página de la agencia tributaria o no. Pero tienes razón, hay más mundo.
#12 No se si te ha pasado, pero hay casos en que el botón de acceder de todas formas no está disponible.
#10 Y como el sitio implemente HSTS no entras.
#10 Habrá que hacer la declaración de la renta en Internet Explorer 6  media
#4 El Man in the Middle en realidad es el negro del WhatsApp
#11
"♫ I'm starting with the Man in the Middle (oh yeah)
I'm asking him to change his ways
And no message could have been any clearer ... ♫"
#4 No es una buena idea, y si sale como caducado/revocado no debiera dejarte.
#4 Me temo que no, al menos no para Chrome. Sacado de groups.google.com/g/mozilla.dev.security.policy/c/dSeD3dgnpzk/m/iAUwcF

This will be implemented via our existing mechanisms to respond to CA
incidents, via an integrated blocklist. Beginning with Chrome 90, users
that attempt to navigate to a website that uses a certificate that chains
to one of the roots detailed below will find that it is not considered
secure, with a message indicating that it has been revoked. Users and
enterprise administrators will not be able to bypass or override this
warning
.
#39 Una cosa es que no puedas quitar la advertencia y otra que no puedas "darle pa’lante".
#26 Lo difícil es a partir de los 64 bits
pero esto es se arregla en dos minutos, AEAT se busca otro proveedor de certificados que siga siendo marcado como fiable, lo despliega y adelante

El artículo me hace pensar que Camerfirma es como la FNMT, y veo que es una empresa privada, un simple proveedor del certificado HTTPS de la AEAT y de otras admin publicas.

También se anuncia por los mentideros una torta muy gorda cuando letsencrypt.org/ se emancipe y todos sus certificados pasen a no ser fiables en Android antiguos...pero vamos, q es un problema que se arregla con que si tienes caida de trafico, pongas un certificado mas ampliamente reconocido, ¿no?

(no voto sensacionalista porque no estoy seguro, pero si lo que creo es verdad, debería ser descartada)
#21 pero letsencrypt es gratis
#21 puedes instalar el cert de la CA a mano. En el caso de let's encrypt.
#21 También se anuncia por los mentideros una torta muy gorda cuando letsencrypt.org/ se emancipe y todos sus certificados pasen a no ser fiables en Android antiguos.
Échale un ojo letsencrypt.org/2020/12/21/extending-android-compatibility.html
#21 La verdad es que la noticia me huele raro. Teniendo la FNMT, que es un proveedor de certificados oficial y publico, que las administraciones no lo usen por defecto. No quiero pensar mal, pero que el portal de la AEAT tenga contratado en su lugar a una empresa con historial cuestionable suena totalmente a chiringuito.
camerfirma, un chiringuito surgido de las mafias de las cámaras de comercio, donde se refugian todos los chupopteros empresarios para comerse las pollas entre ellos y recibir subvenciones a manos llenas. no me extraña que camerfirma sea un auténtico fiasco
#61 Las cámaras de comercio pueden ser unas mafias por su mierda de gestión interna, pero si algo no tienen es a los empresarios dentro, precisamente su problema es que apenas representan al empresariado, más allá de unas decenas de multinacionales que puede haber en sus consejos, ninguna participa en su gobierno o toma de decisiones.
Por suerte, ya no se financian mediante impuestos, así que son una entidad privada más que ofrece un servicio público a todo tipo de empresas.
Apenas pueden influir en la vida cuotidiana de las empresas, ya que no tienen poder ni casi funciones asociadas.
Entre otras cosas emitieron un certificado sin verificar que el dominio existía y pertenecía al solicitante:
bugzilla.mozilla.org/show_bug.cgi?id=1672423
"At that time, we did not have the automatic controls yet and the checks were performed manually by comparing with the name given by the client, so the error was not detected in the moment of the issuance."

El resto de desmanes aquí:
wiki.mozilla.org/CA:Camerfirma_Issues
Yo uso Lynx, cero problemas.
#3 ¿Y cómo ves el porno de ardillas muertas en modo consola? :shit:
#5 Siempre, yo me masturbo en ASCII desde los 8 bits.
#5 NSFW
cc #8  media
#18 Uf, ya me estoy poniendo palote.
#8 Yo desde los 7 sin paridad.
#8 Me has recordado a ésto (sólo la gente culta puede entenderlo).  media
#27 Muchos ceros observando a 2^24? Se refiere a la paleta de colores de las gráficas más potentes en los 90?
#27 5bc vs 1b?
#27 Le falta un poco de #FFFF00 por arriba a esa pobre #FFFFFF.
#27: ¿Es un "cinco contra uno"? O sea, un onanimo.
#27 BRAZZERS.
xD xD xD
#27 Entendí la referensia :roll:
#5 sí tiene cierta edad, (cuando el canal plus era analógico), aprendería como todos, viendo esas rallas bancas y grises el sábado por la noche intentando discernir algo.
#5 #3 #9 #15 En la TTY puedes, necesitas framebufer y fbida como visor, entonces, en /etc/lynx.cfg:

VIEWER:application/postscript:fbpdf2 -w %s
VIEWER:application/pdf:fbpdf2 -w %s
VIEWER:image/gif:fbi -a %s
VIEWER:image/x-xbm:fbi -a %s
VIEWER:image/png:fbi -a %s
VIEWER:image/tiff:fbi -a %s
VIEWER:image/jpeg:fbi -a %s
VIEWER:video/mpeg:fbplayer %s
VIEWER:video/mp4:fbplayer %s
VIEWER:video/mkv:fbplayer %s
VIEWER:audio/mp3:fbplayer %s
VIEWER:audio/ogg:fbplayer %s
VIEWER:audio/flac:fbplayer %s…   » ver todo el comentario
#17 mplayer -vo aa:driver=curses -monitorpixelaspect 0.5 - really-quiet movie.mp4
#34 aa? para qué, pudiendo ver videos en FB/KMS sin tener que usar ascii?

A mi en su dia tambien me molaba aatv, hasta que ví fbtv y flipé.
Perdón, pregunto por ignorancia. ¿Qué pinta la fundación Mozilla en el equipo de seguridad de Google Chrome?
#22 Es un foro común para todos los interesados (el CA/Browser forum): Chrome, Mozilla y otros como los que deben asegurar con su software a los usuarios finales que todo funciona como debe y las CA que generan los certificados demostrando que hacen las cosas de una forma segura para que puedan confiar en ellos. Los criterios son comunes para los proveedores de software así que se ayudan mutuamente para verificar, validar, etc. Luego cada uno puede tomar su decisión particular, pero lo normal es que apliquen una decisión más o menos común.
El tal Ramiro Muñoz a ver si espabila un poco, que le ponen a caldo en los mensajes
Fiel reflejo del gestor español, un cavernícola analfabeto de la tecnología
#49 En UK no son mejores; mira si no las leyes referenciando a Netscape.
Relacionado:
Iñaki Gabilondo: "Tenemos un problema que debemos reconocer: España no funciona"
www.meneame.net/story/inaki-gabilondo-tenemos-problema-debemos-reconoc
¿Cuándo llegará el día en que este país haga las cosas bien?
#20 Mañana. :troll:
A ver cuándo llega el turno de Izenpe.
comentarios cerrados

menéame