Certificados digitales autofirmados

alzehimer_cerebral · 9 Enero 2011, 18:01 PM

Hola foro,

por lo que he LEIDO se que un certificado digital firmado por una CA ofrece:
Autentificacion, Privacidad, Integridad del mensaje y garantiza no repudio.

Con un certificado digital autofirmado la autentificacion no se garantiza (el servidor podria ser otro al quien dice ser el certificado), pero las otras 3 caracteristicas si que se siguen garantizando verdad??

SALU2

alzehimer_cerebral

Yo estoy hablando del protocolo SSL, en cuanto a autentificacion si esta firmado por una CA se sabe que el servidor es quien dice ser, en cuanto a la privacidad claro que existe ya que todo el dialogo va cifrado con una clave simetrica, el no repudio se garantiza por la firma digital, y la integridad se garantiza gracias a las funciones resumen.

Al usar certificados autofirmados lo unico que no se grantiza es la autenticacion correcta, pero el resto de caracteristicas si se mantienen verdad?

Pero esa no es mi pregunta...

MOD: No hagas double posting (y menos triple posting). Si tenes que agregar algo a tu mensaje, modfica el mensaje existente.

rdzlcs · 9 Enero 2011, 19:06 PM

CitarCuando los navegadores no admiten el cifrado potente. Aunque un certificado SSL admita un cifrado de 128 ó 256 bits, algunos navegadores y sistemas operativos más antiguos aún no pueden conectarse a este nivel. Sin un certificado SGC en el servidor web, los navegadores web y los sistemas operativos que no admiten el potente cifrado de 128 bits sólo recibirán un cifrado de 40 ó 56 bits. Los usuarios que dispongan de las siguientes versiones de navegadores y sistemas operativos podrán, de forma temporal, conseguir el cifrado SSL de 128 bits si visitan un sitio web con un certificado SSL con SGC.

Creo que hay recién pasa a ser inseguro, las huellas digitales son muy seguras en la actualidad, y no creo que alguien puede emular de alguna forma esta, a menos que la amenaza este dentro de un servidor...

Saludos

alzehimer_cerebral · 9 Enero 2011, 19:14 PM

PREGUNTA: Si el servidor utiliza un certificado autofirmado!!! Suponiendo que el servidor es quien dice ser, se puede garantizar privacidad y la integridad del mensaje??

Es sencilla y directa la pregunta.

Salu2.

alzehimer_cerebral

APOKLIPTICO · 9 Enero 2011, 20:58 PM

Si el servidor utiliza un certificado autofirmado, y no comparte su certificado previamente con los que quieran acceder al servidor, no se va a poder garantizar la autenticidad del mensaje. Por ende, no se va a poder tampoco garantizar la privacidad o la integridad del mensaje.

Si uno recibe en una conexion segura un certificado que no esta firmado por una CA conocida, el explorador te va a avisar. Sin embargo, con ataques tipo man in the middle, se podria facilmente modificar y ver el mensaje.

APOKLIPTICO

alzehimer_cerebral · 9 Enero 2011, 21:29 PM

Gracias por las respuestas...

Voy hacer un esfuerzo en dejar claro lo que quiero hacer y se haciendo esto la conexion es segura!!!

Estoy programando una aplicacion en Java que se conecta a un servidor por Https, dicho servidor tiene un servidor autofirmado creado por mi. Las personas que quieran utilizar la aplicacion de la que hablo deben añadir manualmente el certificado automirmado al truststore de sus ordenadores (para que confien en el certificado autofirmado del server). Partiendo de que los clientes añadan el certificado autofirmado a sus truststores... entonces la comunicacion seria autentificada?? seria cifrada?? seria propensa a modificaciones de los datos sin que los clientes lo detectaran??

Yo pienso que no, ademas la aplicacion se encarga de conectar a servidores con certificados que han sido creados por mi, por lo tanto apuntan a servers mios no ha servers de otros que se harian pasar por mi...

Haber si me podeis asegurar si este tipo de comunicaciones serian seguras, me encuentro en una etapa de pruebas en la cual no quiero invertir en gastos de CA pero en la cual necesito saber si estoy garantizando la seguridad que acredita el protocolo SSL a pesar de que use certificados autofirmados.

Saludos y gracias por los aportes.

alzehimer_cerebral

APOKLIPTICO · 12 Enero 2011, 19:16 PM

Si las personas que van a entrar a tu servidor con anterioridad instalaron su certificado en el truststore, entonces no va a haber problemas. El tema es que el certificado sea realmente de verdad, es decir, que cuando se lo bajen y lo instalen, nadie lo spoofee.

el-brujo · 13 Enero 2011, 18:18 PM

la única diferencia que yo sepa que hay, en uno firmado por una CA y otro firmado por ti mismo es que el navegador se va a quejar y te va a avisar (es molesto y pierdes tiempo), el resto es igual, son igual de seguros y válidos.

El único "problema" es que firmado por una CA vale dinero y firmarlo por uno mismo es gratis.

APOKLIPTICO · 14 Enero 2011, 01:38 AM

No son igual de seguros y validos. Son spoofeables facilmente a menos que se haya establecido el certificado por un canal seguro alternativo.

alzehimer_cerebral · 14 Enero 2011, 14:07 PM

Jajajaj es un tema muy lioso. He leido mucho y cuando digo mucho es mucho y sigo sin tener las cosas claras.

En el supuesto caso de que distribuya mis certificados autofirmados de forma personal, darselos mediante un soporte fisico en la mano, y que luego los clientes lo añadieran a su truststore via keytool por ejemplo...

Yo considero que la comunicacion podria garantizar las 4 caracteristicas del protocolo SSL:

-Autenticidad.
-Privacidad.
-No repudio.
-Integridad del mensaje.

Si el certificado autofirmado llega por un medio electronico entonces pienso que la autenticidad no se garantiza, ya que no sabes si donde te conectas es realmente quien el certificado dice ser.. En realidad esto no me afecta ya que la aplicacion de la cual hablo se conecta a mi servidor por lo tanto si que se que es realmente mio

.

Me parece una tonteria gastarme dinero en que me lo firme una CA...

Si alguien tiene buena informacion sobre el dialogo SSL estaria interesado el hecharle un vistazo para profundizar un poco mas en el tema, cualquier cosa dejais un enlace si no os importa.

Un saludo foreros.

alzehimer_cerebral

APOKLIPTICO · 15 Enero 2011, 03:57 AM

Mira, si vos podes enviar por otro canal seguro el certificado, no tiene por que ser fisico, pero tiene que haber un secreto compartido o una VPN segura, entonces podes asegurar las 4 caracteristicas del protocolo SSL (O mejor dicho TLS).