¡Compártelo con tus amigos!

Te puede interesar

lunes, 15 de agosto de 2011

OpenLeaks está haciendo cosas extrañas con SSL




OpenLeaks es una plataforma planificada como Wikileaks, fundada por el ex-miembro de Wikileaks Daniel Domscheit-Berg. Se ha anunciado hace un tiempo y una versión beta que se presenta actualmente en colaboración con el periódico Taz en el Caos Comunication Camp

La página es únicamente con SSL, cualquier intento de conexión con http será enviado a https. Cuando abrí la página en firefox, recibí un mensaje de que el certificado no es válido. Eso es obviamente malo, aunque la mayoría de la gente probablemente no va a ver este mensaje.

Lo que está mal aquí es que es un certificado intermedio que falta - que tiene un certificado transvalid llamado (el término "transvalid" se ha utilizado para ello por el FEP SSL Observatorio del proyecto). Firefox incluye el certificado raíz de Go Daddy, pero el certificado está firmado por otro certificado que se está firmada por el certificado raíz. Para que esto funcione, uno tiene que enviar el certificado intermedio llamado al abrir una conexión SSL.

La razón por la cual la mayoría de la gente no ve esta advertencia, es que los navegadores no están habilitados a recordar certificados intermedios y por eso probablemente pasó desapercibido. Si a alguien alguna vez le sucede en una página web que utiliza el Go Daddy certificado intermedio, que no verá esta advertencia. Yo lo vi porque por lo general no utilizan Firefox y que tenía una configuración fresca.

Otra cosa que me molestó: En la parte superior de la página, hay una línea "Antes de presentar cualquier cosa verificar que las huellas dactilares del partido certificado SSL!" seguido de una huella digital SHA-1 del certificado. Aparte del hecho de que se trata de Inglés en una página alemana, es una sugerencia bastante ridículo. Comprobación de la huella digital de una conexión SSL en contra de que usted consiguió a través de conexión SSL exactamente eso es falso. Comprobación de la huella digital del certificado no tiene ningún sentido si lo ha hecho a través de una conexión que se logró con ese certificado. Si la comprobación de la huella digital debe tener sentido, tiene que venir a través de un canal diferente. Junto a ello, en ninguna parte se explica cómo un usuario debe hacer y lo que es una huella digital en absoluto. No creo que esto es de ninguna ayuda para el público objetivo de una plataforma denunciante - es probable que sólo confunden a la gente.

Ambos temas me da la impresión de que la gente que diseñó OpenLeaks no se sabe muy bien cómo funciona SSL - y eso no es una buena señal.

No hay comentarios:

Recomendados para ti