[Olpc-uruguay] Para técnicos del Ceibal, inclusión de certificado SSL del Correo.

[Miguel Paolino]

Buenas,

Hace unos días estoy intercambiando emails con la gente del Correo y
CERTuy respecto a la distribución de su certificado root CA SSL para
sitios web, básicamente molestándolos con cosas que ya saben.

Es un tema complejo -aunque ya trillado-. Es sabido que para poder
validar una conexión SSL por HTTP es necesario validar la cadena de
certificados, desde el certificado del sitio contra los certificados
intermedios -si hubiera- y finalmente contra el certificado del root
CA de la entidad que los expide que deberá estar instalado en el
navegador.

El problema reside en que el sitio web del Correo donde se alojan los
certificados root CA utiliza un certificado SSL expedido por ellos
mismos, de manera que bajarlo por HTTPS en una maquina que no tiene el
root CA instalado brinda la misma seguridad que bajarlo por HTTP.
Actualmente existen formas de obtener el certificado de manera segura,
pero lamentablemente difíciles de realizar, como ir físicamente al
Correo y que te lo den en un medio no volátil, bajarlo usando Windows
e IE o Chrome y llevarlo a la maquina, etc.

Pensaba que sería conveniente incluirlo en la próxima imagen de las XO
de manera que algunos sitios estatales y otros privados puedan ser
accesibles mediante HTTPS y se minimice la posibilidad de convertirse
en víctimas de ataques (no voy a entrar en detalles).

Con la educación sobre el uso correcto del navegador (fundamental) y
ese paso me parece que se puede dar un paso significativo en la
dirección de mejorar la seguridad del usuario.

Se podrá?


-- 
Saludos

Miguel Paolino