[uylug-varios] "HTTPS Inspection" ¿es ético?

Luis Pablo Pérez kylroy at gmail.com
Wed May 2 08:27:22 PDT 2012


2012/5/2 Carlos Martinez Cagnazzo <carlosmarcelomartinez at gmail.com>:
> A mi me gusta mucho el usar DNS para estas cosas. Creo que de todas
> maneras el punto flaco sigue siendo la verificacion de confianza /
> identidad, es el talon de Aquiles de la PKI.

Sin duda. En el ejemplo de la empresa X nada impide que implementen el
mismo procedimiento en cada servicio.
Toda la información de DNS va a venir correctamente firmada por una
cadena de certificación que termina en un certificado raiz al cual le
entregaste tu confianza.

>
> s2
>
> C.
>
> On 5/2/12 10:12 AM, Eduardo Trápani wrote:
>>> Hay algo en el IETF que se llama DANE, básicamente usar el DNS para
>>> poner certificados. No he podido leer el draft, pero la ultima versión es:
>>>
>>> https://datatracker.ietf.org/doc/draft-ietf-dane-protocol/
>> ¡Claro!  Ahora que lo decís :) ... es super lógico.  Va arriba de DNSSEC.
>>
>> Lo que más me gustó (leída rápida) es que podés firmar "en cascada", o
>> sea, podés pedirle a Seciu que firme el certificado de uylug.org.uy y
>> uylug a su vez puede firmar un subdominio.  Y lo otro es que podés decir
>> para qué puerto y qué aplicación es el certificado, tipo
>> _443._tcp.seguro.uylug.org.uy.
>>
>> Parece mucho mejor que lo que tenemos ahora.
>>
>> Gracias, Eduardo.
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy



More information about the Uylug-varios mailing list