Archivo del autor

Cuando te plagian artículos y aun así niegan la mayor

Share on Google+Share on FacebookTweet about this on Twitter

Esta no era precisamente la siguiente entrada que tenía pensado publicar, y por desgracia, a diferencia de tantos otros temas que hemos tocado, es de las pocas veces que creo que voy a usar mi propio blog a modo de reivindicación, indignación y también sorpresa. Así que hoy, lo siento, la poca tecnología de la que se va a hablar es debido a que el artículo en cuestión tocaba dichos temas, pero poco más. Con vuestro permiso, como siempre, dejadme que os cuente la historia de estos días atrás… por supuesto desde mi punto de vista y con los datos e información que he tenido, pero cada cual saque sus propias conclusiones, además de creer lo que crea oportuno. 

Además no está mal recordar algunas cosas que creo forman parte de la moral/ética, que a veces se olvida en Internet.

 

Antecedentes

Soy alguien que defiende las libertades, empezando por la libertad de expresión, por supuesto con educación y con un mínimo de cabeza. El principal motivo por el que hace ya muchos años abrí este pequeño espacio, y no es la primera vez que lo digo, fue para tener la libertad de escribir sobre cualquier cosa que quisiese sin preocuparme que cualquier tipo de politiqueo pudiese censurarme de modo alguno. Por aquel entonces frecuentaba mucho un par de foros, pero al final por no ser políticamente correcto siempre terminaba igual. Aquí encontré un lugar mucho mejor, y pese ser un amante de la tecnología, lo bueno de estar en la propia casa de uno es que no hay más normas que las que uno pone, y si quiero hablar del tiempo, de política, de sociedad o de lo que me de la gana, lo he hecho. Pero siempre he intentado mantener unas normas básicas, incluso en casa propia creo que es necesario, evitan el perdernos a nosotros mismos, evitan convertirnos a veces en aquello que decimos detestar o que incluso criticamos. No hablo de una larga lista, es algo muy básico y que en lo personal creo que es esencial:

Respetar siempre tanto al lector como a cualquiera que quiera dejar su comentario. Aquí no hay censuras, los únicos comentarios que he editado a lo largo de los años han sido siempre por razones de SPAM (los cuales no edito, los borro directamente) y aquellos que insultan o faltan el respeto a otros (no he tenido casos de racismo, apologías y otros, como es natural, es de sentido común que serían eliminados). Siempre he dicho que aquí todos somos caballeros, y con educación y buenas formas podemos hablar de todo, aunque a veces no estemos de acuerdo.

Pero hace muchos años que entendí que la buena voluntad no vale para todos, y eso obliga por desgracia a optar por medidas que no siempre gustan, y que básicamente coartan de algún modo libertades que de otro modo se podrían tener. Es de lo que hoy hablamos, de la propiedad intelectual, específicamente en este caso del contenido propio que uno genera. Esa es la razón por la cual en el pie de página de mi blog aparece las condiciones generales en las que se distribuye todo el contenido que yo escribo. No, no tengo una página de políticas o condiciones de uso, eso no va conmigo, sólo dejo claro que el contenido en todo mi blog, obviamente a menos que se especifique otra cosa, está bajo licencia Creative Commons BY-NC-ND. Es decir, en esencia dicha licencia dice que absolutamente todo lo que escribo puede ser usado siempre y cuando:

a) Atribución: Se especifique el origen del artículo así como su autor (yo en este caso). Normalmente ni siquiera me suelen citar por nombre/apodo, con decir que es de otro y enlazar a la fuente original me doy más que satisfecho siempre
b) No uso comercial: Se pude usar siempre y cuando dicho uso no conlleve directa o indirectamente una retribución económica
c) No se permite la creación de obras/trabajos derivados

Esta decisión no fue arbitraria, fue necesaria. Recordar por cierto que esos términos son generales, como ha sucedido estos años montones de veces, cuando alguien ha necesitado o ha querido “saltar” alguna de esas limitaciones, se ha puesto en contacto conmigo, y creo que prácticamente casi siempre les he dado luz verde… exceptuando el uso comercial, que rara vez lo he permitido.

No tengo ninguna necesidad de reconocimiento, esta “Almas Oscura” no busca número de visitas ni salir en las noticias, creé esto para contar historias, a mi modo y de lo que yo quisiese, y siempre he dicho que el mejor pago siempre fue que todo lo escrito pudiese ayudar a otros. Pero cuando vives en un mundo en el que por desgracia no todo el mundo comparte la misma visión de las cosas, y cada cual tiene su propia ética/moral, tienes que poner límites. Si alguna vez os topáis con alguien que coge un trabajo vuestro, lo destroza, hace un uso fraudulento de ello, me entenderíais. Una forma para luchar contra esto es obligar ha citar la autoría de dicho artículo y a no permitir obras derivadas. Podría explicaros todo esto de forma mucho más extensa, pero terminaríamos al final con mis artículos eternos 🙂

Y sobre el uso comercial bueno… creo que se deduce por mi modo de pensar. No soy alguien que se venda, lo que escribo es para todos, no para unos pocos. No quiero que nada de lo que sale de aquí pueda formar parte de un libro publicado por una editorial, o una revista que cobra a sus afiliados o… eso no va conmigo. Entiendo perfectamente que otros quieran hacerlo, no lo critico, simplemente como no quiero que ese sea el papel de lo que escribo, no lo permito. Ya he dicho que no me importa el reconocimiento, me da igual que por ser publicado en una revisa importante o en una gran editorial me diese renombre, no es lo que quiero

Bien, dicho todo esto, volvamos al caso… como muchos de los presentes habituales sabrá, hace ya unos meses hice una publicación (realmente la anterior a esta) por hartazgo de llevar días escuchando hablar sobre certificados SSL, sobre si Let’s Encrypt hacen un buen papel o no… y otras cosillas. Vamos, el artículo lo tenéis abajo como digo:

HTTPS no añade legitimidad o credibilidad a una Web, brinda seguridad

Tengo la mala/buena costumbre de explicar en el propio artículo el motivo por el cual lo he redactado. A veces es una idea tonta que me surge en la cama, otras veces algo que leo, otras veces algo que veo en la televisión, otras veces algo con lo que me estoy entreteniendo… y ese en particular fue a raíz de un artículo que leí en su día de Xakata.

Bien, hasta aquí todo normal, sólo diré de momento y para terminar este previo, que, y cualquiera lo puede comprobar tanto en R.R.S.S, RSS, blog y otros medios, dicho artículo fue publicado el 31 de Marzo de madrugada, sobre las 6.00 de la mañana, su artículo por contra, oficialmente fue entregado a la revista y por tanto terminado el 31 de Marzo sobre las 9 de la mañana, unas 3 horas más tarde… que como veremos, evidentemente no fue un dato que el me diese.

 

Sorpresa

Como casi siempre me pasa, estoy en otras cosas y de pronto lees algo que te llama la atención. En este caso fue una “noticia” que apareció en mi feed de Google Now hará unos 3 días. Para quien ande despistado, Google Now es un servicio de Google que te muestra de forma ordenada y sistemática información que puedas desear en cada momento, como noticias, el tiempo y otros. Bien, pues entre otras noticias que me aparecían, me apareció el siguiente titular:

“Aviso a navegantes: HTTPs implica seguridad, no legitimidad”

Obviamente no es de esos que eliminas del feed directamente porque no interese, principalmente porque lo primero que pensé fue un: “Ey!! Alguien me ha vuelto a citar, es mi último artículo”. No había entrado aun en el artículo, pero el titular era obvio, no era literalmente el que yo había puesto (que en ese momento ni me acordaba cual era mi título exacto), pero como digo obviamente era el mío… de echo si leemos los dos, literalmente es el mismo titular cambiado de orden las palabras. Bueno puse como hago siempre que veo mis artículo en algún lado, voy a la web que lo publica, no por control, al revés, me gusta ver quienes me han usado/citado, siempre me hace ilusión que divulguen mi trabajo, eso significa que ha gustado.

Por desgracia lo que me topo es un escenario con el que me quedo perplejo. El artículo está firmado por un tal “Pablo E. Iglesias“, y publicado en una revista “alternativa” perteneciente a voz.com. A su vez, el señor Iglesias trabaja parece ser como asesor y “Analista de la información”, y forma parte del equipo de una consultora llamada “SocialBrains”. Bueno, pensé, no es más que una enorme casualidad en el titular, me hace gracia, ya de camino, como no puede ser de otro modo, voy a leer el artículo. A este punto, invito a todos los que no se hayan leído mi artículo previamente citado que lo hagan, así como leer el artículo del señor Iglesias.

Al terminar de leer, ver la imagen de Paypal, de la “cita” que hacen en la revista, y de volver a releerlo por perplejidad, empecé a reírme:

“¿De verdad? Está claro que no han cogido mi artículo y han hecho un copiar/pegar, pero no significa que no me lo hayan plagiado de arriba abajo. Sí, está redactado de otro modo, y no hace uso de todo mi artículo original, sólo trozos de él que camufla entre otras líneas. Pero es imposible negar el plagio, no, no es un plagio total, es sólo parcial, pero sigue siendo plagio. Empezando por el titular que es prácticamente calcado, Let’s Encrypt, mi ejemplo de PayPal, el asunto de Symantec… e incluso algunas otras frases redactadas de otro modo.”

Bueno, eso es lo que yo llamo una obra derivada, sin contar que aun peor, se adjudica la autoría de dicho artículo… bueno técnicamente hablando su artículo lo ha escrito él, basado en el mío. Así que sin ningún tipo de mala voluntad por mi parte, os lo puedo asegurar, procedo a ponerme en contacto con el señor Iglesias para aclarar el asunto, instándole a optar por una de las siguientes dos opciones: Una retribución económica en caso de que quisiese que todo se quedase en el ámbito privado, o por el contrario que menos que una disculpa pública de haber plagiado mi trabajo.

No soy perfecto, nadie lo es, y creo que todos podemos meter la pata en cualquier momento. Para mi nunca ha sido humillante tener que disculparme, al contrario, eso siempre me enseña algo nuevo, y creo que nos hace mejores personas. Os puedo asegurar que si me pasa algo similar, tardo minutos en hacer una disculpa pública, aun sin que me lo pidiese la otra parte.

El señor Iglesias me respondió… en su propia web por cierto antes que por correo, pero tengo que decir en su defensa en ese caso que yo fui primero quien contestó en su propia web que dicho artículo era un plagio (parcial) al mío… momento en que busqué su correo y me puse en contacto con él directamente. La comunicación que he tenido con él no ha tenido desperdicio.

 

Argumentos y ¿Pruebas?

Al tiempo recibí contestación por su parte, y para más sorpresa, lejos de disculparse de nada, tan sólo niega la mayor. Pondría los correos de buen grado, pero por temas legales prefiero de momento (al menos) no hacerlo. Aun así, todavía se pude ver en su blog prácticamente lo mismo que me manda por correo, aunque redactado de otro modo, pero básicamente es eso. A continuación argumenta que su artículo se debe a la noticia de Symantec que sucedió por aquellos días, y que a raíz de aquello lo mandó a la revista.

Bien, en mi artículo, hablo de lo que pasó con Symantec esos días. Resumiendo, Google se mosqueó con ellos por emitir estos (Symantec) certificados de tipo EV sin controles más rigurosos. Esa es la razón por la cual dice en un primer momento Iglesias que le llevó a escribir su artículo, y por otro lado a pesar de decir que tenía registros (ambas partes, él y la revista) de la entrega de dicho artículo, nunca los presentó.

Es de risa… al margen de noticias, razones y de otros, cuando tienes una evidencia tan grande, que es el contenido del propio artículo en este caso, el resto ya sobraría, sólo con el contenido de su supuesto artículo y del mío, automáticamente queda demostrado el plagio. Pero no, para que reconocer algo, el prurito y ego del ser humano, que van a pensar de mi mis compañeros de trabajo, la revista y a fin de cuenta el “reconocimiento” que puedan tener de mi en Internet.

La evidencia del contenido, en un primer momento es indiferente. El sencillamente se “defiende” diciendo que él sólo se hizo eco de la noticia de Symantec al igual que hicieron muchos. Por cierto, eso es también bastante dudoso.., Yo en mi artículo explico lo de Symantec como de pasada, no escribí mi artículo por ello, lo escribí a raíz de lo de Xakata y de mi artículo anterior de Let’s Encrypt y el acaso y derribo que se había tenido con ellos. Lo de Symantec lo metí porque es cierto que pasó por aquellos días, y quería dejar patente que es realmente un certificado fraudulento de uno que puede ser usado con fines fraudulentos. Para Iglesias, según el cuenta, todo su artículo era una “simple” noticia del caso de Symantec.

Por supuesto le contesté a su correo, y aun bastante comedido, pero entiendo que tampoco tendría que haber tenido contestaciones tan grandes, me pasa por idiota y querer obrar de buena fe. Lo primero que le contaba en mi correo es que cuanto menos tenía que ver la inmensa similitud de ambos artículos (cosa que a día de hoy no ha sido capaz de reconocer tampoco),  y que de cualquier modo se podía resolver de un modo inmediato, si de verdad tenía dichos registros, problema solucionado. Hay que destacar que Iglesias no publicó hasta hace unos días dicho artículo en su blog, pero según me dijo desde un principio lo había entregado mucho antes a la revista, ya terminado. Todos estaremos de acuerdo que es algo extremadamente sencillo!! Tenemos por un lado la propia revista y tenemos por otro lado a él, vamos a ver dichos registros, si su artículo fue entregado antes de la publicación del mío, señores, asunto arreglado.

No sólo eso, le dije que por favor me los enseñase, que sería el primero en disculparme públicamente tanto en su web, como en mi propio blog de ser así, no sólo eso, sino que además sería el primero gratamente sorprendido de una casualidad así. Evidentemente si él me hubiese conocido un poco mejor entendería que, pese a que lo decía totalmente en serio, no significaba que tuviese ningún ápice de duda del plagio, no necesito ver un registro, el contenido ya lo estaba viendo. Y creo en las casualidades, pero no en los milagros.

Que sí, que pueden existir casualidades, pero intentar defender que su artículo pudiese ser similar al mío porque ambos nos basamos en la misma noticia (realmente yo no me basé en ella), es un argumento un poco cojo. Mi artículo, y el suyo por ende, son artículos de opinión, no una noticia, no era explicando una noticia que había salido, ni siquiera él, que decía que por eso lo escribió, nombra Symantec de forma directa, y lo nombra como yo, de pasada. Las enormes coincidencias de ambos artículos no dejan margen de duda, como pudiese ser el caso Symantec, el titular, el ejemplo de Paypal, Let’s Encrypt y las críticas que han tenido por la emisión de certificados… etc etc etc.

Entonces recibí su segundo y por ahora último correo, dudo enormemente que vuelva a contactar conmigo, lógicamente. Este fue aun mejor, en su blog me lo hace llegar también:

“Por privado te he pasado una de las pruebas que confirman que no se trata de un plagio. De hecho yo lo escribí un día antes de que tú lo publicaras.”

No estoy diciendo que la “prueba” que el me muestra sea falsa o haya sido modificada, que por otro lado sería trivial para cualquiera que tenga unos conocimientos mínimos, me refiero a que si quieres zanjar un asunto así, y creo que es lo que haríamos todos, es mostrar como prueba sencillamente el registro de salida/entrada de cuando el artículo fue enviado a la revista, ni más ni menos. Pues no, no me enseña eso, todo lo que me enseña es una captura de pantalla del versionador (revisiones) interno de WordPress, en el que se puede apreciar la fecha de la 1º edición (30 de Marzo), y debajo lo que parece ser un borrador de su artículo, y digo borrador porque sólo se ve el título y y un par de párrafos. Sobre el título, tengo que decir que era ya diferente: “Seguridad no implica identidad”, eso repito si tomamos por buena dicha captura y presuponemos que no hay nada modificado. El señor Iglesias dice que lo escribió un día antes y su prueba es la “apertura” en WordPress de un artículo… si, muy creíble.

Me siento ofendido señores. Entiendo que alguien que se vea ya de lleno en el “problema” quiera intentar defenderse como pueda, pero insultar al sentido común o creer que puedo tener 3 años… eso me lo tomo ya a lo personal. Vamos a ver… en la captura se ve que la línea temporal del artículo (de las diferentes revisiones) empieza efectivamente el 30 de Marzo, pero es muuuucho más larga…  ¿y me enseña la primera? ¿pero cual es la última modificación? No dudo que pudiese tener en mente o incluso que hubieses empezado a escribir un artículo cualquiera, eso me es indiferente, no me preocupa el borrador que pudieses tener. Ya podría tener igualmente ese borrador de hace 2 años. Por favor… con lo sencillo que hubiese sido, si hubiese sido cierto, de enseñar el correo en el que se enviaba el artículo terminado, o por supuesto la última revisión de su artículo, o… y lo que haces es enseñarme (repito, en el mejor de los casos y que no hubiese modificado NADA para camuflar más cosas, que sé que ha hecho) una captura de cuando empezó a escribir el artículo?? Tengo borradores en mi blog de hace más de 2 años, y algunas entradas que he publicado llevan en borradores tantos otros, que por supuesto antes de publicar los modifico o actualizo. Querer pasar de prueba algo tan subjetivo, teniendo en cuenta lo rápido y directo que hubiese sido enviar una prueba firme, es un insulto a la inteligencia.

Señores, si alguna vez me veo en una situación así, si yo fuese él y cualquiera llama mañana diciéndome cualquier cosa que sea mínimamente parecida, es que ni siquiera espero que me pida pruebas, es que en el primer correo que le mando no tiro balones fuera, y primero exalto la gran casualidad, le invito incluso a tomarnos una cerveza por pensar de un modo tan parecido a mí, y como adjunto al correo, le añado fechas y horas de cuando fue hecho público. Y si por el motivo que fuese, no es algo que transcendiese al ámbito publico aun, como fue su caso puesto que el no lo publicó hasta meses después, le hago captura del correo que envié con el artículo terminado, le mando registros del servidor en la medida de lo posible e incluso timestamps de archivos y otros. Que sí, que incluso todo eso puede ser modificado, pero al menos hago lo posible para que se quede tranquilo y contento. No espero que me pidan pruebas, no envío información sesgada, interpretable, ambigua… por favor, seamos un poco adultos.

Termina con una frase rotunda, sobre que yo no conozco el mundo digital y sobre que las personas pueden creer tener ideas únicas cuando no lo son. Su contestación en su blog, que es en parte la misma que me hace a mi por correo:

“Espero que para la próxima seas consciente de que las ideas que tenemos no suelen ser únicas, y que es probable que incluso otros ya hayan pensado en ello y dejado pruebas de tal hecho.”

Como todos saben yo acabo de conocer esto de Internet y del mundo digital, llevo aquí sólo un par de días… El señor Iglesias aun estaba intentando convencerme o hacerme creer que dos personas que no se conocen absolutamente de nada pueden tener la misma idea (o similar),  en las mismas fechas y encima para colmo plasmarlo de un modo semejante. Si es que me entra la risa tal como estoy escribiendo.

Claro que sí señor Iglesias, esa cosas pasan en el mundo digital, y estoy seguro que en 1905 le pasó también al gran Albert Einstein, cuando publicó su teoría de la relatividad, todo el mundo sabe de ese otro paisano Alemán que que salió para decir que, semana arriba o semana abajo, también tuvo la misma idea, y que escribió una publicación similar al respecto.

(Nota: Obviamente la alusión al gran Einstein es puramente con motivos jocosos e irónicos, en ningún momento estoy comparando a uno de los más grandes de toda la historia con mi persona, ni por supuesto su trabajo con el mío, hasta ahí podríamos llegar. Lo digo más que nada por si alguien no es capaz de captar el humor de mis palabras)

Creo en las coincidencias, claro que pienso que puede suceder que dos personas no sólo lleguen a tener la misma idea, sino llegar a las mismas conclusiones. Eso lo veo plausible. Lo que es yo diría imposible o milagroso es que además eso pasase en las mismas fechas y encima que ambos lo plasmasen con un grado de exactitud tan enorme. Eso ya no es casualidad, y sí, tiene nombre, se llama plagio.

 

Conclusión

No he vuelto a tener noticias de él. El último mensaje que le puse en su blog no lo ha publicado, el último que ha dejado es el que puso cuando me envío el correo con su gran prueba… en realidad lo entiendo, si ha negado la mayor no va a permitir en su blog comentarios por mi parte tirando por tierra sus afirmaciones una a una, y con pruebas sólidas.

Ah, es verdad, pruebas… se me olvidaba.

En lo que me compete, como entenderéis, no necesito pruebas de nada. Creo que cualquiera con dos dedos de frente que se lea ambos artículos va a llegar a la misma conclusión. Pero es verdad que aun así hay quienes prefieren agarrarse al clavo ardiendo, aunque sea una posibilidad entre 100 millones, puesto que aceptar que pudiese ser cierto (que su artículo era un plagio) para algunas personas, implicaría bastante más que simplemente una equivocación puntual. Como ejemplo sencillo, esta misma mañana me escribía por Twitter públicamente el que creo que es un compañero suyo de SocialBrains (por lo que pone en su Twitter), y me decía lo siguiente:

“@Theliels te aseguro por lo más sagrado que se te ocurra que lo último que haría @PYDotCom sería robar contenido. Le conozco muy bien.” “perdóname, pero no, nunca, bajo ningún concepto. Llevo años trabajando con él y sé que NO es capaz. Cuanto más insistas, más disculpas debes”

Como le contestaba igualmente por Twitter, por desgracia no conocemos tan bien a los que tenemos al lado. No conozco a Iglesias, no dudo que pueda ser un gran compañero y por supuesto que pueda ser generalmente un buen profesional en todo lo que hace. No tengo nada personal en contra de él. Sencillamente le critico que haya plagiado un artículo mío y que lejos de disculparse quiera hacer creer a todos que es sencillamente algo casual. Porque por supuesto el sí que no pude decir que yo le haya plagiado a él.

Esta mañana, antes de recibir el mensaje de Twitter de su compañero, me llegaba por correo la confirmación de la fecha/hora de entrega del artículo de Iglesias, gracias a la cortesía de la propia revista. Fechas y horas por cierto, que evidentemente el señor Iglesias tenía desde el primer momento, y nunca, en ninguno de sus correos ni de su blog se atrevió a poner. Es curioso, ¿verdad? Dice que tiene pruebas, dice que lo escribió el día antes, me muestra una captura de algo… y sin embargo alto tan simple como decirme sobre que día y hora entregó el artículo terminado lo omite. No estoy diciendo que de ponerme ese dato me lo hubiese creído, pero aunque sólo sea para tapar dudas, uno da la cara, y creo que es infinitamente más fiable, directo y menos sospechoso decir que el artículo se entregó/terminó/publico tal día tal hora, que ir a WordPress, ir al versionado, capturar pantalla… para adjuntar una captura que muestra el inicio de una entrada, que sólo se ven dos párrafos (podía tener más escrito, quien sabe).

No, me temo que por lo que se ve no lo conocéis bien. Para aquellos que quisiesen agarrarse al clavo ardiendo de que el contenido del artículo era sólo una casualidad y sacado de contexto y… añadir a todo ello que su artículo fue terminado después de publicar yo el mío

Después de toda la información que tengo… ¿que es lo que realmente creo que pasó? Sinceramente no creo que lo hiciese con demasiada mala intención. Lo que imagino, y esto es ya pura especulación, es que tendría que entregar un artículo antes de finalizar el mes, y que a día 30 aun no lo tenía terminado, quizás sea la razón por la que en su artículo se puede apreciar que hay… “dos partes”, una que es mucho más diferente a mi artículo donde las similitudes son menores, y una segunda parte donde sucede lo contrario, y las casualidades y similitudes son constantes. Supongo que le cogió el toro, tenía que enviarlo a más tardar el día 31, se quedaría trabajando con el el 30 para terminarlo el 31. El 31 se levantaría temprano, vio mi artículo, le gustó, cogió de él lo que estimó y las prisas hicieron que conservase incluso algunas frases de forma literal, como el título final, ejemplos… y en un santiamén estaba listo, y lo envió.

Para mi lo más importante no es que se pueda usar mi trabajo para adjudicárselo otro (que ya es duro), sino el poco estilo de al menos ser capaz de reconocer las cosas. Al final, yo en el peor de los casos no pierdo ni gano nada, nadie puede poner en tela de juicio mi artículo, y en todo caso a alguien le pueda caer peor por molestarme porque otro plagie mi trabajo, pero nada más. Por su parte, y ya se lo dije en el correo, lo peor que pudo hacer fue desde un primer momento no reconocerlo. No estoy diciendo que alguien que no haga nada tenga que reconocer algo, pero hombre, en este caso creo que esa opción está totalmente descartada… me refiero desde su propio prisma, si yo fuese él y me están diciendo que “me han pillado”, cabe dos opciones: Que la otra persona lo deje pasar o que al final puedas verte en un problema de verdad.

Teniendo en cuenta que no le di una sola oportunidad sino varias, y de muy buenas formas, tenía cuanto menos que pensar que quizás no lo iba a dejar pasar. En el mejor de los casos para él y que todos (su circulo) lo defienda, las pruebas son suficiente cuanto menos para un poso de desconfianza hacia su persona por parte de los mismos que lo defienden. Pero es que como le dije, y parece que creería que era una broma, la violación de la propiedad intelectual es un delito, y al margen de no tener ningún tipo de duda de lo sucedido y de tener todas las pruebas conmigo, visto su comportamiento, no me ha dejado otra elección, sólo espero que sea capaz de defender algo mejor su versión de lo sucedido, y con mejores pruebas, ante quien realmente le va a corresponder.

 

Como reflexión final… señores, todos nos equivocamos, incluso en cosas que pueden tener más repercusión que sencillamente decir “lo siento”. Estoy que voy a decir lo saben muchos que me conocen, lo aplico a la vida misma. Para mi, cualquiera puede cometer un error, y eso no lo convierte en una mala persona, sólo en humano. No importa lo grande que sea, todos la liamos en mayor o menor medida. La diferencia entre unos y otros no está en el tamaño de la equivocación, sino en que unos son capaces de reconocerla, y otros no. Con los primeros puedo compartir mi vida sin problema a pesar de sus defectos y de todas las putadas que puedan llegar a hacer, pero al menos puedo firmar de ellos. Con los segundos no tiene mucho sentido. Y no hablo de este caso en particular, que a fin de cuenta lo veo como un problema de ego desmedido y que por suerte resolverán los Juzgados, hablo en general.

 

Saludos a todos. Estoy seguro que el próximo artículo será mucho más halagüeño… realmente lo tengo terminado prácticamente desde hace semanas, pero creo que terminaré editándolo al menos en parte por no “mosquear” demasiado a los chicos de Xiaomi, que no creo que les siente muy bien eso de enredar en sus servidores.

HTTPS no añade legitimidad o credibilidad a una Web, brinda seguridad

Share on Google+Share on FacebookTweet about this on Twitter

Llevo ya días que al despertarme me topo con alguna noticia relativa a HTTPS, supongo que los responsables son Mozilla y Google, que desde primeros de años decidieron aplicar algunas medidas coercitivas en sus navegadores, lo que sucede es que como siempre si el usuario medio no entiende lo que quiere decirle un cartel de advertencia, al final da igual.

 

Brevemente, sobre el mensaje “nuevo” que estas dos compañías han instaurado. Es un ejemplo más que muestra el trabajo que cuesta a veces a los usuarios de perfil medio la diferencia entre seguridad y legitimidad de una página. Muchos empezaron a decir incluso que Google iba a advertir con mensajes a los usuarios sobre que una web no era segura… no tiene nada que ver con eso, de echo tanto Firefox como Chrome muestran exactamente lo que tienen que mostrar, la lectura que otros le quieran dar es diferente:

La primera es el mensaje que muestra Firefox, el segundo Chrome, este último también traslada un mensaje en la URL. En esencia dicen exactamente lo mismo. Ambas compañías simplemente muestran en pantalla ese mensaje cuando se dan dos circunstancias: La primera, estamos en un formulario que se reconoce un campo de contraseña donde vamos a introducirla. La segunda es que la Web en cuestión en la que vamos a introducir dicha contraseña no está bajo HTTPS con un certificado válido. Dicho de otro modo, al no estar la web bajo HTTPS, los datos que pongamos tanto en la contraseña como en el nombre de usuario, es posible que sean enviados en “texto plano”, es decir, tal como los introducimos, y por ende podrían ser potencialmente interceptados por alguien que “pinchase” la conexión en cualquier punto de esta.

Hay que entenderlo, no significa que la web sea insegura realmente, o que no sea legítimas. Lo que nos avisa es que si nuestra red no es segura (nos están robando WIFI, tenemos un familiar/amigo travieso conectado a ella, usamos una red pública…), alguien podría potencialmente leer ese tráfico, y claro… a lo mejor no importa tanto saber que visitas una web concreta o incluso el contenido de ella, pero si importa y mucho si lo que capturan es la contraseña de tu correo electrónico, de acceso a un servicio. Pero repito, nada tiene que ver con legitimidad o fiabilidad, y es más, esa advertencia puede no ser importante si sabemos perfectamente desde donde nos conectamos.

 

Volviendo al asunto original del artículo, estoy aburrido de leer “noticias” sobre HTTPS, Certificados TLS/SSL, “seguridad”… y casi todos ellos sesgados. El último ha sido esta tarde… no me gusta tirar tierra a nadie y respeto el trabajo de cualquiera, pero creo que hay que ser más riguroso en lo que se escribe, y por citarlos, hablo de un artículo en Xataka. A veces una coma o el modo de decir las cosas no importa y se sobre entiende, pero otras veces el significado es muy diferente sólo con que falte un acento. En este caso, y cito textualmente encontramos el problema de siempre, algunas frases muy poco afortunadas:

“Esto quiere decir, que una dirección web en la que tengas que empezar escribiendo https:// en vez del clásico http:// será siempre mucho más segura, ya que certifica que la web visitada es legítima…”

“Chrome están empezando a señalar como inseguras todas las páginas que no lo utilicen”

No voy a valorar el resto del artículo, por supuesto dice cosas totalmente ciertas, el problema es que hay otras que no lo son.

Por un lado, sobre el comentario que se hace de Chrome, es falso, siempre he dicho que una media verdad no deja de ser una mentira, intencionada o no. Chrome NO SEÑALA las webs como inseguras cuando no están bajo HTTPS, Chrome, al igual que Firefox, lo que hacen es mostrar un aviso en el campo contraseña (y Chrome también en la URL) cuando existe un campo contraseña, y ese aviso, aunque pueda usar la palabra “insegura”, especifica bien claro a que se refiere, al envío de información cuando se rellena un formulario o cualquier otra cosa. Este aviso no aparece si dicha web carece de cualquier campo de este tipo, esté en HTTPS o no.

Sobre la primera frase, realmente es lo que me llevó a volver al blog, no por Xataka realmente, lo de ellos ha sido una noticia más haciendo alusión a eso de dar legitimidad a una web o no.

 

¿Qué es y qué no es HTTPS?

HTTPS se basa en autentificación y cifrado entre el equipo de origen, y el servidor destino, de forma bilateral (por lo general la autentificación la realiza sólo el cliente, no el servidor). Que un servidor use HTTPS para servir sus webs, poco o nada tiene que ver con que esa Web sea más segura, o que dicha web sea quien dice ser, con la única excepción de que use certificados tipo EV en todo caso (en lo relativo con la identidad, es decir legitimidad).

La necesidad de HTTPS nace precisamente de los cartelitos que ahora muestran Firefox o Chrome. Cada vez más usamos las conexiones inalámbricas, cada vez más hay desconfianza de los ISP (proveedores de internet) e incluso de los propios estados!! Quien no conoce a día de hoy los casos de Wikileaks y tantos otros. El cifrado no es algo nuevo, y creo que todos lo entendemos bien… algo que no esté cifrado no significa que no sea seguro, significa que si alguien lo intercepta lo va a poder leer.

No veamos HTTPS como un ente tan extraño, se puede simplificar enormemente, pensemos en vez de HTTPS y páginas web en una carta, en que quiero hacer llegar una carta a mi amada, y para ello no tengo más opción que dársela a un amigo para que a su vez se la entregue a ella. A nadie se le escapa el problema, incluso si pusiésemos un lacre sellado, mi amigo podría abrirla y leer el contenido, y si el contenido de la carta no usa un código secreto que sólo entendiese ella y yo, pues mi amigo se enteraría de todo. En función de la relevancia de las letras que ponga en esa carta, usar un código secreto entre los dos puede ser simplemente un juego, a ser totalmente necesario.

En Internet, el amigo puede ser tu hermano conectado a tu misma red, puede ser un vecino que te roba WIFI, puede ser un desconocido conectado a la misma red pública (WIFI o cable), puede ser incluso si quisiese tu ISP, por supuesto el gobierno… y eso sin contar absolutamente cualquier punto por el que tus datos son transferidos hasta llegar al servidor final. Al margen de conspiraónicos y que los gobiernos y los ISP nos espíen, el principal problema no son ellos, son las redes en las que nos conectamos. Puede que no me haga gracia que, en caso de hacerlo, un gobierno quiera interceptar mis comunicaciones, pero a fin de cuentas tampoco tengo nada que considere “personal” para ellos, más me preocupa que desconocidos puedan conocer mis datos personales, cuentas y otros.

 Sí, el cifrado puede ser algo positivo, pero desde luego desde mi punto de vista indispensable cuando manejamos información personal o evidentemente confidencial, y HTTPS soluciona esto. Ya hablé en su día largo y tendido sobre ello en uno de mis artículos, y recientemente también en el de Let’s Encrypt, donde por encima explicaba todo esto, aunque en menor medida.

Inicialmente hablaba de legitimidad… HTTPS trata sobre cifrado de datos, no sobre legitimidad. Sí, el servidor se autentifica/identifica de cara al usuario, pero no para certificar que el contenido de la página es legítimo, ni siquiera que la propia web lo sea!! Lo que certifica en todo caso (de tener un certificado digital reconocido y excluyendo los certificados EV que veremos luego) es que dicho certificado fue emitido para dicho dominio específicamente, nada más. Dicho de otro modo, que el certificado que nos llegue a nuestro equipo, poder ser validado para estar seguros que quien nos los mandó es la web que tenemos delante.

Y en ese párrafo está toda la madre del cordero. Xataka dice que certifica que la web que tenemos delante es legítima… no es cierto, la web puede decir que es Paypal, la web puede ser un calco perfecto de cualquier página de un banco, e incluso podrían tener un dominio similar!! y por supuesto, podrían usar perfectamente un certificado digital (y usar HTTPS) validado. Evidentemente a mi modo de ver las cosas, no considero eso como una web legítima. Esto es algo que se está empezando a hacer de forma masiva, por la falsa creencia precisamente del usuario de creer que si ve el candado verde la web es fiable, y es un error de base. Sí, la comunicación con dicha web se hace de forma cifrada y ningún vecino nos intercepta la comunicación, pero los datos que enviamos llegan igualmente al servidor, y si esa web la hace una persona malintencionada, evidentemente tiene acceso a dichos datos, datos que nos acaba de robar por creer nosotros que por tener candadito verde la web era legítima de fiar.

Pero por supuesto, que son unas letras sin una buena imagen. Ni siquiera he tenido que invertir tiempo en hacer una prueba propia sobre esto, simplemente me ha bastado con  mirar en cualquiera de los servidores usados para los registros de transparencia de certificados (por ejemplo https://crt.sh), que registran los certificados emitidos por las diferentes agencias CA que los usan, y mirar los dominios para los cuales se registran. Yo he buscado por Paypal, que contengan los dominios “Paypal”, por ejemplo, y el primer certificado que he encontrado que contenía su nombre ha sido el que pongo ahora en la imagen:

Antes de terminar de escribir este artículo, habré reportado dicha web, con lo que es posible que si alguien intenta acceder Google SafeBrowser la esté ya indicando como página de Phising, pero ahora mismo esta totalmente operativa. Como podemos ver perfectamente, la web está protegida por HTTPS, con su candadito verde, su “Es seguro”, con una URL similar a alguna que pueda tener una página real de Paypal, y por supuesto su contenido un calco. Bien, este es un ejemplo sencillo, poco o nada tiene que ver con que esté bajo HTTPS y el certificado sea válido, el contenido puede ser totalmente fraudulento. Ni que decir tiene que posiblemente de meter ahí los datos, se los enviaríamos a una personal mal intencionada, pero muchos creerían que como la URL parece ser “buena”, y que pone “es seguro”, es de fiar. ERROR!!

 

Let’s Encrypt, el CA del que ya hemos hablado en otra ocasión, está siendo foco de grandes críticas por muchos (no hace falta ser un genio para saber que la mayoría de todas ellas por no decir todas vienen de los otros CA). Se les acusa de emitir certificados fraudulentos. Bien, primero tendríamos que matizar que es un certificado fraudulento, porque el ejemplo que he puesto anterior de Paypal, no es un certificado fraudulento, es un certificado totalmente legítimo, lo que no es legítimo y lo que es fraudulento es el contenido de la web mostrada, así como el uso evidentemente de la propiedad intelectual de Paypal y la suplantación de identidad. El certificado es legítimo siempre y cuando quien lo solicitó demostrase que era el dueño de dicho dominio, y recordemos que el dominio no es Paypal.com, el dominio comprado en este caso es “paypal-secure-info.gq”. Dado que las normativas sobre dominio permiten el registro de dicho dominio (lo cual es normal, no pueden vetar un dominio simplemente porque contenga una palabra que es marca comercial), sería totalmente injusto vetar la emisión de un certificado para dicho dominio. El problema no es el dominio, el problema no es el certificado… el problema es el uso que se haga de ello.

Algunos dicen que Let’s Encrypt en la “poca” vida que llevan, ya ha emitido muchísimos más certificados de este tipo que llaman “fraudulentos” que el resto de CA juntos. No lo dudo, es muy posible, pero por una razón sencilla… con los otros CA tienes que rascarte el bolsillo, 50-100€, pero te los emitirían igualmente por mucho que digan algunos que no permitirían certificados en dichos dominios, a fin de cuentas si el dominio está registrado correctamente, la emisión de un certificado estándar (de tipo DV, validación de Dominio) solo requiere para cumplir con las estrictas normas de seguridad la validación del propio dominio, nada más.

Ante esto Let’s Encrypt ya ha dicho más de una vez lo mismo. Ellos no son la policía ni el organismo competente para censurar el uso que puedan o no dar otros a las web, eso será cuestión de otros, y que por suerte herramientas como Google SafeBrowser o Internet SmartScreen, están para eso. Repito, lo mismo sucede con cualquier otro CA. De echo, para curarse en salud, Let’s Encrypt tan solo emite certificados DV.

Muy diferente es el caso cuando se desea un certificado EV, esos certificados que añaden antes de la URL el nombre de la compañía. Esos certificados emitidos por un CA requieren una serie de verificaciones y burocracia muy superior, que precisamente buscan eso, que se pueda tener cierta confianza de que la web visitada corresponde al contenido que tienen. En el caso de la web de paypal fraudulenta puesta arriba, les sería imposible lograr que pusiese delante de la URL lo que realmente veríamos en una web de Paypal:


El contenido es exactamente el mismo, y al margen de que la URL sean diferentes, evidentemente, en esta vemos el “sello” del certificado EV “Paypal, Inc. US”. La anterior sería imposible que lo lograse, incuso lograr algo similar sería casi imposible, a caso iban a crear una empresa llamada Paypal Secure bla bla bla y lograr todo lo que se requiere?? No, no lo lograría. Pero eso no invalida el certificado DV, ni tampoco le quita la gran importancia/necesidad que estos certificados (DV) tienen. De echo, como explicaba en el artículo de Let’s Encrypt, los certificados EV son muy caros, y la mayoría de entidades no los usan por no ser necesarios, mucho más importante que mirar el sello EV es mirar la URL, que ojo… puede engañar también (otro día hablaré de ello), pero pensar que si tomásemos una empresa no conocida podría tener legítimamente su sello EV y ser igualmente fraudulenta por el contenido que tiene.

 

Hace unos días apareció la noticia de que Google castigaba duramente a los certificados EV de Symantec (uno de los grandes CA) por detectar durante años la emisión de EVs de estos sin las necesarias y más estrictas condiciones. Recordar que un CA es fiable sólo en la medida que los navegadores Web y otros software se fían de ellos y añaden en sus productos los certificados raíces de estos. Dicho de otro modo, en cualquier momento tanto Google, Mozilla, Microsoft… podrían bloquear/anular los certificados raíces del CA que quisieran, dejando los miles o millones de certificados emitidos por ellas totalmente inservibles. Es por eso que son aquellos que crean el software que nos conecta los que deciden que certificados añadir y que normas y condiciones tienen que cumplir para permitirles estar dentro de su software, y si no lo cumplen o detectan irregularidades, no tienen problemas en eliminarlos o castigarlos del modo que estimen. Y sí, han caído empresas grandes cuyo principal volumen de ingresos era la emisión de certificados porque los navegadores los bloquearon por emitir certificados fraudulentos.

Vale, pero he dicho que los certificados fraudulentos no son tales… en que quedamos. Bueno, he dicho que el ejemplo anterior no es un certificado fraudulento, pero claro que se pueden emitir certificados fraudulento. El ejemplo más sencillo, si mañana me pongo en contacto con un CA y les pido que me emitan un certificado para google.es, y me lo mandan, es un certificado fraudulento, y no porque ya exista uno legítimo, eso es indiferente, es fraudulento porque el dominio google.es no es mío, e incluso un certificado DV se debe de emitir sólo si se puede verificar la propiedad de dicho dominio. Peor aun si hablamos de certificados OV o EV.

En el caso de Google y Symantec, según se ha dicho en la nota de prensa, Google detectó irregularidades en la emisión de certificados tipo EVs, y ha optado por medidas bastante serias, y durante un año irá invalidando dependiendo de las fechas de emisión de estos, los certificados EVs de Symantec (si leí bien). Y esto no es poca cosa, eso causa un daño enorme a Symantec. Es en una de esas pocas cosas que vemos el tremendo poder que puede tener una empresa que desarrolla una navegador Web para con otras multinacionales de gran peso e importancia.. bueno, google es un gigante, pero pensemos en Google como desarrollador de Chrome. Por supuesto Symantec les ha respondido, que han exagerado los datos, que les parece un “castigo” desmedido, que en el peor de los casos que Google lo lleve a cabo re-emitirá certificados nuevos para todos los afectos para que no se vean afectos… etc etc etc.

 

Conclusión

Por supuesto la credibilidad y fiabilidad de un sitio es o debería de ser muy importante, el problema es que no existe un sistema para ello. La mejor forma de legitimar una web es conociéndola, mirando siempre muy bien las URL, usar tecnologías como Google SafeBrowser (usada en Firefox o Chrome) o Smart-Screen usada en Internet Explorer. Tener siempre la seguridad, sobre todo cuando vamos a introducir cualquier dato sensible que la web que tenemos delante ES la web que dice ser, y no fiarnos de si usa HTTPS para eso o no. HTTPS nos asegura un cifrado, no la identidad que pueda parecer decir ya sea por el contenido o por la URL. Eso no invalida para nada la necesidad de HTTPS, puesto que incluso aunque una web sea fraudulenta, puestos a escoger, dentro de los males el menos malo sería que usase HTTPS, al menos tendremos la seguridad de que los datos sólo nos lo roba quien hizo la web fraudulenta, y no además otro que nos espíe la conexión por no usar HTTPS.

Con la aparición de Let’s Encrytp la web ha dado un buen giro, y donde antes nadie usaría certificados, ahora el uso se está expandiendo enormemente, ya sea un blog personal (ya, lo sé, no se lo tengo puesto al blog, en casa del herrero cuchillo de palo), ya sean empresas, tiendas online… y eso es bueno, con independencia de que algunos los quieran usar para otros fines.

Pero no nos equivoquemos, la culpa no la tienen esos desalmados, ellos simplemente se aprovechan como siempre del desconocimiento de los usuarios, las empresas de CA se han empeñado durante años a decir que los certificados son necesario para la confianza, para la fiabilidad… y muchas campañas se han hecho acerca de esto, así que el usuario normal ha tomado por válido ciertas cuestiones, como que si la web tiene un certificado seguro, la página es segura = fiable = de_confianza.

HTTPS sí, siempre que sea posible y el certificado sea válido, pero por favor… no dejéis nunca de revisar bien y mucho ante la duda la web que los use.

¿Son realmente necesarios los Antivirus? ¿Causan más mal que bien?

Share on Google+Share on FacebookTweet about this on Twitter

Buenas compañeros.

Es de estas veces que… digamos que estás haciendo alguna cosa sin demasiada importancia y sin necesidad de atención, mientras lees algunas publicaciones aquí o allí. Y de pronto me he topado con un artículo publicado por Robert O’Callahan, persona bien conocida (en el mundillo) y que sigo desde hace tiempo, con un gran talento como ingeniero de software, y un poco siempre controvertido. Robert O’Callahan ha sido Ingeniero de Mozilla durante muchos años, siendo una pieza fundamental de ellos, un gran programador, experto en seguridad y bueno… creerme, es cierto que siempre ha sido políticamente incorrecto, pero sabe de lo que habla.

El artículo no tenía desperdicio, animo a todos a leerlo: “ Disable Your Antivirus Software (Except Microsoft’s)“. Cuando cualquiera escribe sobre temas que conoce (o cree conocer), sus palabras pueden ser más o menos escuchadas y tenidas en cuenta por un grupo de seguidores o lectores, pero cuando personas de cierto y conocidas por su trabajo hacen comentarios tan tajantes, se arma un revuelo… y no es para menos.

Para quien no quiera leerse el artículo o vaya regular en Ingles, se lo resumo de forma sencilla:

En primer lugar, O’Callahan aprovecha para recordar que al no estar de momento en Mozilla (espero sinceramente que vuelva), tiene “libertad” en poder expresarse de forma abierta ya que a fin de cuenta no representa ni la opinión ni palabras de Mozilla y está desvinculado de ellos. Esto nos dice que muy posiblemente Mozilla piensa igual en general, sólo que como es normal no puede hacer afirmaciones tales por las repercusiones que tiene, como veremos luego.

A continuación, hace un pequeño resumen exponiendo que los Antivirus, lejos de hacer nuestros sistemas más seguros, por lo general lo que logran es hacerlo más inseguros, crearle agujeros de seguridad, son invasivos, matan el rendimiento y generalmente por raro que parezca no cumplen las normativas básicas de seguridad de software, con un código mal optimizado y problemático. Y desde el punto de vista de ellos como desarrolladores de software, específicamente navegadores Webs, afirma también que una parte muy importante del tiempo dedicado por los desarrolladores es precisamente tener que lidiar con los fallos de seguridad y otros de los propios antivirus, por supuesto da ejemplos de ello.

Muchos han visto esto como un guiño a Microsoft, por Windows Defender, pero en lo personal no creo que sea así, y en parte lo explica. La gran diferencia entre Windows Defender (En Windows) y cualquier otro AV como pueda ser Symantec, Avira, Avast… (pongo 3, pero en general cualquiera), es que Defender en primer lugar está integrado en el sistema y mucho más optimizado, en segundo lugar Microsoft por política somete a todo su software a estrictos controles de seguridad y estándares que deben de seguir, cosa que la mayoría de empresas de software no hacen, y en tercer lugar porque para lo que sirve un AV, Defender cumple con lo que necesita cualquiera. Dicho de otro modo… Windows ya tiene su propio AV/AntiMalware que funciona bien, para que usar software de terceros que puede provocar todo tipo de problemas.

Bien… cualquier que me conozca, sabrá lo que pienso al respecto: Estoy totalmente de acuerdo con sus palabras.

Es complicado hacer este tipo de afirmaciones y más para ellos, como bien dice. los desarrolladores de Software tienen que trabajar a fin de cuenta codo con codo con los desarrolladores de AV, y es evidente por qué… creéis que a cualquier desarrollador de software le gustaría que un AV salte una advertencia de seguridad o que hagan un comunicado diciendo que el software de X no es seguro?? Es indiferente si dicha afirmación o dicha alarma es cierta o no, el daño lo hacen, porque son compañías que tienen mucho peso. Yo puedo hacer los comentarios que quiera, puedo dar mi opinión y ninguna empresa de AV puede “influenciarme” de ningún modo, pero la mayoría no puede hacer eso.

Las empresas de AV se aprovechan de la historia y del desconocimiento de los usuarios, intentando venderte no su software, sino la idea de que si no usas un AV, tu equipo está desprotegido, y que el suyo es el mejor. Y esto es falso… al menos de un punto de vista global, y he hablado de ello muchas otras veces. Los AV tienen su utilidad, pero es limitada en el mejor de los casos, y por lo general causan un mal mucho peor que la posibilidad de coger algún tipo de malware. El desconocimiento es tal, que por paradójico que sea, la mayoría deshabilita las actualizaciones de Windows para mantener su equipo en buena forma y seguridad, mientras que usan AV para “protegerlo”, cuando es exactamente al contrario!! Lo más importante para la lucha contra CUALQUIER tipo de malware, es TENER ACTUALIZADO EL SOFTWARE empezando evidentemente por el OS.

Pues han pasado unos días desde que el señor O’Callahan escribiese dicho artículo, y al margen de lo polémico que ha sido muchas veces (que no es sinónimo de no tener razón), esta vez se le ha unido incluso algunos Ingenieros de Google, que aunque han sido algo más suaves, han venido a darle la razón, aludiendo que al margen de las estadísticas y otros que sacan las propias empresas de AV, ellos tienen sus propios datos que muestran que tales afirmaciones son ciertas, y que duela a quien duela, Defender es digamos mucho menos problemático que el resto de los AV.

No es normal que expertos de cierto calibre hagan afirmaciones tales: “Deshabilita/Desinstala tu Antivirus”, pero me alegra que por fin algunas voces se atrevan a decirlo. Como queda dicho, hay demasiados intereses económicos, y luchar contra empresas de importante tamaño te puede pasar factura, sobre todo si tu producto puede verse afectado por el producto de otro.

 

Mi opinión personal es bien conocida para todos mis círculos, y alguna vez la he expresado aquí. Cualquier tipo de Malware es introducido en el equipo o por interacción directa del usuario o por algún agujero de seguridad. Lo primero se evita con una educación mínima de como usar Internet y otros, a fin de cuenta repito entra porque el usuario instala o ejecuta algo que no debía. Lo segundo se evita actualizando el Software, sobre todo cualquier programa de cara a Internet, como navegadores Web, Sistema operativo y otros. Y no, en ninguna de esas dos luchas contra el malware aparece un AV. Sí, en algunos momentos específicos puede ser bueno poder disponer de un AV para analizar un archivo del cual no estamos seguro o dudamos… pero para eso tenemos una herramienta mejor a todo ello:

http://virustotal.com/

Tengo que decir que siempre que tengo que recomendar configurar un equipo, software a instalar… o incluso a amigos/familiares que soy quien se encarga de ello, el AV lo tengo vetado. Por lo general, es cierto que les dejo habilitado Defender, aunque en mi círculo más cercano, también lo tengo deshabilitado. Esto no es una recomendación ni lo deja de ser, porque al final como dice también O’Callahan, si recomiendas algo y alguien termina con problemas por ello, se contará siempre la negativa y no la positiva, sólo digo que a todo en lo que tengo o pueda tener mano, los AV de terceros están totalmente vetados, y en mis círculos más cercanos, todos.

Por supuesto… cada cual es libre de creer, hacer 🙂

Let’s Encrypt

Share on Google+Share on FacebookTweet about this on Twitter

le-logo-wide

Llevo ya un tiempo queriendo escribir algunas palabras sobre esto por dos motivos. El primero, debido a la gran importancia que a día de hoy debería de ser mantener las comunicaciones seguras entre los equipos de los usuarios y los servidores remotos, y en segundo lugar por lo que, desde mi opinión claro está, es la gran labor que han llevado a cabo y están realizando todos los que están detrás del proyecto de “Let’s Encrypt”.

Como es costumbre, vamos a hacer una pequeña introducción para explicar en primer lugar un poquito de todo esto para quienes no sepan de ello, y para los que sepan y aun estén recelosos clarar algunas dudas.

 

¿Que es Let’s Encrypt?

La versión corta y reducida es la que podemos encontrar en su propia web: https://letsencrypt.org/:

“Let’s Encrypt is a new Certificate Authority: It’s free, automated, and open” (Let’s Encyrpt es una nueva Autoridad de Certificación. es gratuito, automatizado y abierto).

Internet no se construyó en su origen para ser seguro, de tal modo que en su versión simplista se trataba de poder enviar información desde un punto a otro. Los años, y más los tiempos que corren, demostraron que eso está muy bien, pero se hacía necesario algún sistema de cifrado punto-a-punto que asegurase dicha comunicación. Los cifrados punto-a-punto se denominan así (ahora de moda con las aplicaciones de mensajería instantánea) porque el contenido se cifra/descifra en los extremos, es decir… se cifra en nuestros dispositivos y circula de ese modo hasta llegar al destino, haciendo que sea, en teoría siempre, poder “leer” dicho tráfico si alguien intercepta la comunicación en cualquier punto de dicha travesía. De este modo tan solo el origen y el destino de dicha comunicación podrían entender lo que están enviando/recibiendo. Esto fue vital para Internet, y así nació HTTPS, que todos estamos hartos de ver.

HTTPS se fundamenta en el uso de los protocolos TLS y SSL, los cuales a su vez su funcionamiento radica en el uso de lo que llamamos certificados digitales para poder crear un entorno de cifrado asimétrico (ya sea RSA, ECC…). Esto ya hablé bastante en su día, así que no voy a repetir el grueso de todo aquello, quien le interese, creo que estaba en el artículo de Seguridad: Encriptación y Autentificación (cap 4). Abreviando mucho, digamos que, al menos, el servidor al cual los usuarios se conectan para iniciar su comunicación de forma segura debe de poseer un certificado digital que será enviado al cliente al iniciar la conexión y que le dará a este toda la información necesaria para realizar esa conexión, como la clave pública que usará el cliente para cifrar la clave simétrica de sesión, los algoritmos a usar para el cifrado… e igualmente importante, los datos necesarios para que el usuario PUEDA VERIFICAR LA CORRECTA IDENTIDAD DEL SERVIDOR AL QUE SE CONECTA, empezando por el CA (Autoridad de Certificación) que emite dicho certificado.

El cifrado es esencial si queremos que nuestras comunicaciones no puedan ser leídas en ningún punto hasta su destino (evidentemente sobre todo cuando estamos transmitiendo información que pueda ser confidencial o importante como usuarios/contraseñas, tarjetas de créditos, datos personales..). Esto no es un problema para TLS/SSL, y a día de hoy si la implementación TLS/SSL es buena y usando las versiones más actuales y otros, el cifrado es, en la práctica, imposible de romper (no vamos a entrar en teoría de computación cuántica, errores de implementación, ataques de tiempo y otros). Pero el cifrado es solo la mitad del problema, porque nada podría impedir igualmente a quien quisiese interceptar la comunicación, suplantar el servidor destino haciendo de “hombre en medio” y mandar su propio certificado al usuario, creyendo este que es legítimo, y por otro lado este atacante se comunicaría hacia el servidor real, y como el es en ambos casos extremo de la comunicación, podría leer perfectamente toda la información cifrada tanto por uno como por otro. Incluso como muestra la siguiente imagen, se podría hacer uso de esto con fines igualmente legítimos: (Nota: La imagen está sacada de otro sitio, no tenía ganas de hacer una similar)

interceptionproxy

Este esquema muestra el problema que indicaba. Un cliente podría querer comunicarse con el servidor remoto www.example.com, pero un tercero que quisiese interceptar la comunicación (aka SSL Interception proxy) podría enviar su propio certificado (emitidio por Corporate CA) al cliente, recibir la comunicación por parte de este, y a su vez conectarse al servidor remoto real, que le enviaría su certificado real (emitido por Real Public CA) para reenviar lo que el cliente le mandase a él. Todo iría cifrado, desde el Cliente al intermediario, y del intermediario al servidor final. Problema?? Que realmente no sería un cifrado punto-a-punto, ya que en medio se habría colocado un tercero que podría estar leyendo absolutamente todo el tráfico que pasase por él.

¿Como se soluciona esto? Aquí es donde radica todo. La solución es que los clientes, cuando usan cualquier aplicación para conectarse a servidores remotos por conexiones seguras TLS/SSL (ya sea un navegador web, un gestor de correos, una aplicación de mensajería instantánea, un juego, un…) posee una “base de datos” propia que puede venir con el sistema operativo o con la propia aplicación, en la que se especifica claramente que Autoridades Certificadoras se aceptan como seguras. Realmente lo que contiene dicha base de datos son los certificados públicos de todos los CA válidos.

Así pues, si nuestro navegador web solo tuviese en su base de datos como CA a la FNMT (por poner un ejemplo), tan sólo los certificados emitidos por el certificado Raiz de la FNMT (o los secundarios que dependan de este si lo tienen permitido), serán validados y dados por bueno por el navegador del usuario, de lo contrario el navegador directamente nos pondrá en aviso, denegando por defecto la conexión. En el ejemplo anterior, el cliente quiere acceder al servidor www.example.com y lo que recibe es un certificado emitido por un tal “Corporate CA)” que dice ser el certificado de www.example.com. Si el cliente posee dicho CA en su base de datos como autoridad válida, no habrá problemas porque el cliente confía en que los certificados emitidos por dicho CA se pude confiar en ellos, y la comunicación se hará sin problemas. PERO!! Si la base de datos del cliente no tiene ninguna constancia del CA en cuestión, o el certificado que posee la base de datos del cliente del CA difiere al que el emite… la conexión muy probablemente no se realizará.

Eso significa que al final, además del cifrado hace falta la cuestión de confianza, que en última instancia viene dada por el CA que emite dicho certificado.

¿¿Que es Let’s Encrypt?? Un CA, ni más ni menos. Actualmente actúa como CA “intermedio”, no posee un certificado Raiz que sea “universalmente” aceptado, y depende de la generosidad en este caso de IdenTrust, que es el certificado Raiz, que a su vez emitió el Certificado CA de Let’s Encrypt que permite a estos emitir certificados. Por poner un ejemplo de si esta práctica es habitual o no, todos los certificados que usa Google usan esta misma política, Google no tiene certificado raiz propio, sino que su certificado CA intermedio está emitido/firmado a su vez por GeoTrust.

Pero hay cientos o miles de CA, ¿cual es su importancia?

 

El principal problema con los certificados digitales

Lo ideal es que el 100% de todas las comunicaciones fuesen cifradas punto a punto, en cambio el uso por servicios/webs es muy bajo en comparación al tráfico sin cifrar. ¿Por qué?

Bueno es simple. Cualquiera puede crear en cuestión de segundos un certificado digital para su empresa, para firmar código, para un servidor web… se tardan segundos, pero dicho certificado sólo será creíble de puertas para fuera si está emitido por un CA de confianza. Así que eso sólo deja dos opciones:

A) Convertirnos nosotros mismos en un CA de confianza y emitir los certificados que queramos.
B) Obtener el certificado que queremos usar de un CA de confianza

La opción A se antoja cuanto menos casi imposible. Llamamos un CA de confianza, básicamente a un CA que es universalmente reconocido por la gran mayoría de todos los desarrolladores, empresas y otros que hacen uso de certificados, evidentemente empezando por las empresas que están detrás de los navegadores Webs, de los Sistemas operativos… Es decir, que si cualquiera quisiera crear una empresa que se dedicase a actuar como CA, además de toda la infraestructura de emisión, revocación… tendría que ir solicitando prácticamente uno a uno la inclusión de su CA en el software/hardware del desarrollador/fabricante que fuese, y estos a su vez aplicarían y obligarían a cumplir con las normas más estrictas de privacidad y seguridad que estimen. Es un proceso muy largo (años perfectamente), y como digo no existe una base de datos oficial universal, sino que cada desarrollador/compañía mantiene aquellos CA que estima.

Como sencillo ejemplo, pongo por caso el problema que tenemos aquí en España con el DNI electrónico o los certificados CERES. Ni la FNMT que lleva muuuuchos años emitiendo certificados (y hablamos de una entidad totalmente seria, respetable y a nivel nacional) ha logrado ser incluido como un CA de confianza. Sólo hace unos días precisamente, han logrado por fin la inclusión en Mozilla, y después de al menos de 2 años de trabajo y ajustes de todo tipo en sus infraestructuras para tener la luz verde de Mozilla. Y eso tan solo se aplica a Mozilla (Firefox, Thunderbird…), porque si la FNMT quiere que Google o Microsoft incluyan su certificado, deben de solicitar su inclusión de forma similar a la que hicieron con Mozilla, y de nuevo someterse a todos los controles de estos. Como actualmente ese CA no está en nuestros navegadores, todos hemos sufrido aquí montones de veces lo que sucedía cuando accedíamos a páginas de las propias instituciones Españolas: Certificado no válido, error de comunicación… por qué?? Porque los certificados que usan son emitidos por CA que no están por así decirlo universalmente aceptos, así que es necesario instalar manualmente los certificados de dichos CA, especificando que dichos CA serán válidos para nosotros.

Actualmente, Let’s Encrypt tiene ya el visto bueno a su vez de la gran Mozilla, lo cual es un inmenso salto, y en conversaciones con Google/MS para sus respectivos navegadores/plataformas/software. Como he dicho actualmente actúa como CA intermedio, ahora busca independencia total, pero eso, aun teniendo ya luz verde por Mozilla, será un camino largo. Aun con todo, para tener en cuenta lo complicado que es esto, ni siquiera aquellos que incluyen tu CA como CA Raíz te dan un cheque en blanco, son necesarias auditorias externas cada X, especificar bien claro el uso que se le va a dar y que limitaciones, que tipo de certificados va a emitir… y aun con todo en cualquier momento, si de detecta cualquier fallo que los desarrolladores/compañías estimen, ni que decir tiene que la supresión del CA Raiz sería inmediata.

Pero es que la importancia es capital. Tener un certificado CA, ya sea Raiz reconocido (cosa muy muy compleja) o tener un CA intermedio firmado por un CA raíz, implica poder, en teoría claro está, emitir los certificados que se quisiesen para la tarea que se quisiese y para los dominios que se quisiese. Es decir… el sueño de cualquier Hacker, ya que con uno en su poder cualquier ataque de interceptación de tráfico por ejemplo, sería extremadamente efectivo y sencillo, y también simplificaría mucho los engaños y sitios fraudulentos. Así que es normal que las grandes no se tomen eso de admitir un CA Raíz así como así.

 

La opción B es la que a día de hoy hace uso el 99% de todos. En realidad tan solo las grandes instituciones, multinacionales o empresas que se dedican precisamente a la emisión de certificados, optan o pueden optar por la opción A, todos los demás lo que hacemos es obtener certificados emitidos por los CA de confianza, o en el caso de grandes empresas en todo caso lograr un CA intermedio (auditado y vigilado) por lo general para emitir sus propios certificados. En principio, cualquiera puede solicitar sin ningún tipo de problema un certificado a un CA para el uso que estime, ya sea un servidor Web, firmar código o lo que sea. Aquí nos vamos a centrar a servidores Web por ser además el uso mayoritario. La pregunta entonces se derivaría, una vez descartada la opción A, en cual es el motivo entonces, si virtualmente cualquiera puede solicitar un certificado a un CA de confianza: Dinero, el más viejo y conocido de todos, el señor billete, Cash, Money.

 

Tipos de Certificados (para Servidores Web)

A día de hoy existen básicamente 3 tipos de certificados para servidores Web, que se diferencia en función de la información que el cliente quiere por así decirlo validar ante el CA. Como al final todo es una cuestión de confianza, cuanta más información te valide el CA sobre tu persona/empresa, más fiabilidad dará dicha persona/empresa de cara a todo el mundo:

 

-Certificados de Validación de Dominio (DV):

Actualmente más del 60% de todos los certificados que podemos encontrar en la web corresponden a este tipo. El CA que lo emite sólo valida/garantiza que es emitido para el dominio en cuestión, sin aportar absolutamente ninguna otra información identificativa de dicho dominio. Es decir, por lo general basta ser tan solo el dueño o el administrador de un dominio para poder cumplir con los requerimientos que pueda exigir un CA en la emisión de un certificado de este tipo. Ojo!! Eso no significa que estos certificados sean malos, ni mucho menos, aunque se ha hecho muy mala prensa de ellos, pero por cuestiones principalmente de marketing indigno por parte precisamente de los propios CA para que los clientes adquieran certificados que veremos a continuación… que son mucho más caros.

Si visitamos una web, cualesquiera, accedemos por HTTPS y el certificado está validado por un CA de confianza, aun siendo de tipo DV podemos tener la certeza de que el certificado es de quien dice ser. Si un atacante intentase replicar dicho certificado e intentase usar el dominio original, tendría que poder controlar y tener acceso a la configuración del propio dominio para poder lograr un certificado emitido por un CA de confianza, de lo contrario aunque su certificado dijese que es para la web en cuestión, dicho certificado sería rechazado por los navegadores, aplicaciones… del cliente. Esto es importante, porque precisamente hace relativamente poco se culpaba a este tipo de certificados a que se había logrado realizar un ataque a gran escala, pero de nuevo el artículo era sesgado y creado por un CA de prestigio para desprestigiar a otros, si un atacante logra hacerse con el control total de un dominio, da igual al CA de confianza que acuda para la emisión de un certificado DV, porque se lo darán sin problema.

Los certificados DV, a efectos visuales, estamos hartos de verlos en los navegadores web: Candadito Verde, sin más.

certificado DVPor supuesto, siempre suponiendo que son emitidos por un CA válido, de lo contrario tendríamos advertencias de seguridad, candadito rojo o cualquier otro identificativo.

Certificado Info DV

-Certificados de Validación de Organización (OV):

Son el segundo grupo de certificados más usados en la actualidad, y en realidad muy similares a los DV. El CA en este caso emite los certificados no solo validando por los medios oportunos el dominio, sino que además solicita información adicional de la organización/empresa que hay detrás de dicha solicitud, lo que hace necesaria la aportación como es lógico de documentación legal y otros, necesario para que el CA pueda verificar la autenticidad de dicha empresa/organización.

No obstante a efectos visuales para el usuario son prácticamente iguales a los DV, y sería necesario mirar el Certificado directamente para ver la diferencia, que radica en que este tipo de certificados incluye en su variable O (Organization) precisamente la compañia a la que pertenece. En las dos pantallas que puesto anteriormente, no se podría saber si el certificado que he puesto es un DV o un OV, ambos tendrían el mismo aspecto.

Un ejemplo sencillo de certificado OV es el de Google: https://google.es. Pero sería necesario acceder al certificado en cuestión para ver que efectivamente está verificada la organización:

Certificado OV

Si nos fiajos en la pantalla de la derecha, Google Inc. está incluido dentro de la variable O del certificado, aunque sólo es visible si accedemos al visionado directo del certificado. En este caso particular vemos si miramos un poco mas abajo información del propio emisor (CA) del certificado, y básicamente se repite porque Google a su vez es un CA universalmente reconocido, con lo que evidentemente emite sus propios certificados. Cabe indicar que Google no es en sí un CA raiz, OJO!! A su vez depende del certificado Raiz de GeoTrust, aunque Google puede emitir sus propios certificados. Pero la parte que nos atañe aquí es el primer bloque.

 

-Certificados de Validación Extendida (EV):

Son como es natural los más caros, e igualmente los que en teoría ofrecen el mayor grado de confianza para los usuarios. En este caso el CA deberá de verificar mucha más información relevante sobre la propia compañía, siendo el proceso de verificación mucho más lento y profundo. La finalidad es clara, que el usuario final tenga la plena y total seguridad de que la web a la que está accediendo es 100% confiable. Aun con todo al final siempre es todo muy relativo, porque en cuanto a seguridad se refiere podría dar la misma seguridad un certificado tipo DV y OV. Si los certificados EV se crearon exclusivamente por cuestiones de marketing y como excusa de embolsar más dinero para los CA, lo dejo en manos de los lectores. En lo personal, aunque por supuesto estoy totalmente de acuerdo a que la fiabilidad que pueda otorgar un certificado EV es como es natural mayor a un certificado DV, eso no implica que un certificado DV no me de confianza alguna.

Está claro que un hacker, aun logrando acceso y control al dominio le sería virtualmente imposible o cuasi imposible lograr que emitiesen para el otro certificado EV para un subdominio de dicho dominio o cualquier cosa similar, o intentar crear una web con nombre similar e intentar que la organización y otra información pusiese en el certificado que es otra que se quiere suplantar. Eso es evidente, cuantos más controles sometan los CA a los clientes para emitir el certificado, este será más  confiable, pero lo siento… no soy de esos que aconseja por ello que cualquier tienda tenga que tener por obligación un certificado EV, como si hacen la mayoría de todos los CA (teniendo en cuenta que el precio es mucho mucho mayor)

En este caso, los certificados EV no obstante si son tratados de un modo más… especial por los navegadores Webs. Son muchas menos web en los que los hemos visto, pero no son extraños a día de hoy encontrar algunas webs sobre todo que los usan (curiosamente, muchas de ellas son empresas que actúan también como CA). Uno de los ejemplos más “estrella” de ello, es la archiconocida PayPal, que desde luego pocos sitios han sufrido más intentos de phising y SCAN. Podemos saber perfectamente si es un certificado EV porque la propia barra del navegador web cambia para mostrar una barra adicional verde que incluye directamente la información de la propia compañía:

Certificado EV

Esa “barra verde” que hace acopio en este caso Firefox automáticamente nos dice que estamos ante un certificado EV, y ni siquiera hace falta acceder a la información del propio certificado para ver que directamente nos da la información en el propio Firefox sin ir mas profundamente, mostrando la compañía e incluso la dirección de esta.

Muchos se preguntarán que por qué Google u otros grandes como Facebook no usan este tipo de certificados. Bien, oficialmente no existe una respuesta ante esto por sus partes, pero desde mi punto de vista es obvio, y viene a colación de lo dicho anteriormente. Los certificados EV, pese a mostrar más información directamente en los navegadores y que los CA necesiten más datos para emitirlos, no aportan por sí mismos nada más, no dan más seguridad ni más nada, sino que son un reclamo al público para decir: “Ei, mira, uso un certificado EV, tienes que fiarte de mi”. O por ejemplo: “Ei, ves?? Soy el mas guay y el mejor porque uso el certificado EV”. Google tiene nombre propio y en mayúsculas, su propia marca es él mismo y no hay persona que tenga un PC que no conozca quienes son. Evidentemente para ellos no es cuestión de dinero.

Como dije antes y lo reitero, que cada cual saque sus propias conclusiones sobre la necesidad, o no, de que los sitios como tiendas de comercio electrónico y otros requieran un EV, o les sea más que suficiente con un OV. No tiene nada que ver con la seguridad/cifrado, es sobre todo una cuestión de marketing, tanto para los CA que los venden, como para aquellos que quieren parecer mejores por tenerlos. No estoy en contra de los certificados EV, son importantes en muchos casos, pero la gran mayoría están movidos o por el propio marketing que quieren hacer ellos mismos para con el público, o por desconocimiento de quien los adquieren. Como siempre… es mi opinión.

 

 Let’s Encrypt

Bueno, y ¿qué tiene que ver todo esto con Let’s Encrypt?. Básicamente, que Le’ts Encrypt ha sido la primera iniciativa real y usable de que prácticamente cualquiera que tenga un dominio/hosting mínimamente decente, poder adquirir un certificado válido emitido por un CA de confianza (en este caso Let’s Encrypt, aunque de momento actúa por encima de ellos el certificado Raiz de IdentTrust), sin siquiera invertir un solo euro, y de manera además totalmente transparente, es decir… toda infraestructura que usan es de código abierto y puede verificarse, cumpliendo con todos los requisitos de seguridad que puedan cumplir igualmente cualquier otro CA. Eso sí, OJO, Let’s Encrypt SOLO EMITE CERTIFICADOS DV.

Para poner todo esto un poco desde cierta perspectiva. Tomemos los precios por ejemplo de un CA conocido como pueda ser Godaddy (iba a coger Symantec pero los preciso son mucho mayores.). Evidentemente estos datos no son extrapolables a otros CA, cada uno tiene sus propios precios, tomo los de Godaddy por ser relativamente conocidos y porque sus tablas de precios son muy claras. Sus precios anuales (redondeados) para un solo dominio sin incluir subdominios son los siguientes:

-Certificado DV: 85€
-Certificado OV: 110€
-Certificado EV: 227€

A nadie se le escapa que si quisiésemos por ejemplo un certificado que cubriese también todos los subdominios la gracia se nos iría a 330€ en el caso de los DV (siempre tomando de ejemplo los precios de Godaddy. Sí, prácticamente todos los CA que “venden” certificados garantizan con un seguro el certificado, pero no dejan de ser precios importantes a desembolsar de manera anual. No estoy en contra para nada de este tipo de certificados, no estoy endemoniando a Godaddy, Symantec, Comodo… para nada, ojo, son empresas en su mayoría muy profesionales y con grandes servicios, solo quiero poner en perspectiva todo el asunto que nos trae.

¿Que sucede? Pues que evidentemente una empresa no tiene problema en gastarse en sus presupuestos uno dos o los certificados que necesite, sean DV o incluso si se quieren dar la fardada y la presuntuosidad EV. ¿Pero que pasa con las Pymes?? ¿Que pasa con bloggers, autónomos y básicamente el gran grueso de la población? Que costearse incluso un certificado DV puede ser costoso para el poco uso que creen poder darle, y eso acompañado al desconocimiento es lo que hace que a día de hoy má del 60% de todas las web no soporten HTTPS. Y el problema por supuesto se multiplica si lo que se requieren son certificados wildcard/multiples subdominios o múltiples dominios.

Let’s Encrypt por otro lado, como digo, ha hecho posible que prácticamente cualquiera tenga acceso a certificados DV, sin importar el número de subdominios que se requieran o el número de certificados a necesitar por poseer múltiples dominios. Se ha criticado que el proceso sea relativamente automático, pero no nos engañemos… todos los CA usan procedimientos igualmente automatizados para ello (certificados DV), pero de nuevo es normal, a fin de cuenta una organización sin ánimo de lucro alguno está ofreciéndote los certificados DV que quieras a tus dominios y subdominios.

Por supuesto, no es oro todo lo que reluce, y Let’s Encrypt (a partir de ahora LE) puede no ser la mejor opción para todos. Vamos a ver que puntos son o deberían de ser de gran interés para el usuario:

-LE sólo emite certificados DV
-LE sólo emite certificados de 3 meses de vigencia (es lo habitual por otro lado, pero eso obliga a automatizar el proceso de renovación/instalación)
-LE requiere que tengamos como es normal acceso y control sobre el dominio, y si queremos que sea sencillo acceso root en el hosting en cuestión, de lo contrario el proceso puede ser más complicado.
-Muchas compañías de Hosting NO PERMITEN este tipo de certificados por cuestiones obvias, ellos mismos los venden. Aunque cualquier servicio de hosting en el que tengamos acceso al propio servidor como Root no debería de ser problema. Por suerte, y dada la gran aceptación que ha tenido muchas empresas de hosting de siempre están viéndose obligadas a permitir de forma “sencilla” su uso y su automatización completa.
-LE requiere que se tenga por lo general un conocimiento mínimo de que estamos haciendo, de que es un certificado digital y de como usarlo.

 

No obstante tampoco es tan malo como lo pitan algunos:

-LE permite emitir usar tanto certificados RSA como ECC (certificados mas pequeños, y más seguros)
-LE instalado correctamente permite automatizar todo el proceso de forma sencilla, con lo que la renovación no es un problema
-LE Es totalmente gratuito
-LE actualmente usa actualmente un certificado Raiz que generosamente les emitió un certificado intermedio para poder hacer funcionar la cosa, actualmente YA TIENEN el certificado propio CA Raiz aceptado por Mozilla (un gran paso), con lo que a medio-largo plazo serán incluso un CA de confianza de todo derecho.
-La gran aceptación ha “obligado” a grandes como Godaddy, OVH, WordPress… permitir su uso o directamente o indirectamente. Otros por desgracia como 1and1 y algunos otros, de momento al menos, no tienen intención. Siempre como digo en alojamientos web “estándares”, ya que cualquier servicio de hospedaje “completo” tipo servidores virtuales o dedicados, deberían de poder usarlos sin problema alguno.

 

Instalación/Uso

Esto me temo que depende enormemente de donde y como se quiera realizar. En su versión más simplista, suponiendo un control completo del propio servidor. Lo más simples es el propio “cliente” que aconseja Le, llamado Certbot, que tienen instrucciones sencillas para su instalación prácticamente en cualquier distribución linux y servidor Web que se use. Teniendo en cuenta la gran variedad, es obvio que no voy a explicar como donde y cuando.

No obstante, y con la idea en mente que pueda ser usado en la mayor cantidad de sitios posibles, se han creado diferentes clientes muy dispares que aprovechan las diferentes opciones de verificación de dominios que obliga, como es natural, LE para la expedición de los certificados. Así por ejemplo, CertBot requiere que se posean permisos de administrador, mientras que las herramienta acme.sh (hay otras) que podemos encontrar AQUI permite su instalación y uso sin necesidad de Root, aunque pueda ser necesario como es natural instalar uno mismo los certificados donde correspondan

Así tenemos muchos hospedajes Web “baratos” en el mercado que no permite root en sus servidores pero si especificar los certificados TLS. Gracias a herramientas como Acme.sh se pueden ejecutar por SSH en los servidores, lograr que LE nos expida los certificados y posteriormente instalarlos en los paneles de control que nos permita el proveedor. Quizás no es en este caso 100% automatizado, pero si hace que sea viable su uso, que a fin de cuenta es lo que importa. A medida que más proveedores se usan, más sencillo será tanto para administradores como para los propios chicos de LE automatizar las expediciones e instalaciones, y no dudarlo, mejorar con creces la seguridad global dentro de Internet.

 

Conclusión

Al final la idea es la misma: Que aquellos administradores o pequeñas/grandes empresas donde no se han usado certificados para asegurar el tráfico por HTTP por motivos económicos o por infraestructuras, les sea rentable y lo más sencillo posible. Esto no quiere decir que los certificados de cualquier otro CA tengan menos valor, repito. LE no es para todos, y lo comprendo. Pero eso no quita que alabe la gran idea y el gran trabajo que están realizando, y que sirva igualmente de tirón de orejas al resto de CA que hasta ahora han podido imponer un poco los precios que han querido, a fin de cuenta quien se iba a meter en emitir certificados desde un CA reconocible de forma gratuita.

Recomiendo a cualquiera que tenga dominio/hospedaje propio al menos informarse un poco al respecto, merece la pena, y que se plantee realmente si es viable o no su uso en cada caso. En lo personal lo tengo claro… quitando casos concretos, todos los dominios y otros que pueda gestionar irán poco a poco usando certificados de LE, siempre que crea que es necesario claro, gran prueba es que este mismo blog no solo no va sobre HTTP plano sino que no tiene opción (actualmente). Forzar HTTPS en cualquier sitio que pueda enviar información confidencial de ida o vuelta es mandatorio, al menos desde mi punto de vista, y más aun cuando hay datos sensibles. Un DV suele ser más que suficiente para la gran mayoría de casos, así que no hay motivo para no tomar LE muy muy enserio como opción.

Y sí, aunque theliel.es aun no está “asegurado”, ya empecé hace unas semanas con la implementación de LE en todos los dominios que están bajo mi control, que no son pocos, aunque eso no quiera decir que fuerce las conexiones HTTPS por defecto en todo momento. A fin de cuenta los procesos es mejor hacerlos poco a poco…

Desde aquí, aunque posiblemente no me lean, sólo dar la enhorabuena al trabajo que están realizando, creo sinceramente que es de esas iniciativas que sí cambian las cosas.

Google I/O 2016

Share on Google+Share on FacebookTweet about this on Twitter

De nuevo, otro año más, volvemos a la carga, y de nuevo antes de las vacaciones de verano. En esta ocasión parece ser que que el Keynote será retransmitido en 360º, así que ya tenemos la primera novedad de todas. Está claro que este año se va a seguir apostando por la realidad virtual, y casi con toda seguridad veamos un nuevo CardBoard (o la evolución de este). Pero… que más??

Está claro que se van a hablar de muchas cosas, pero creo que al final podemos resumir las novedades en dos grupos:

El primero y quizás más importante son aquellas que van enfocadas directamente a los productos actuales y que afectan o pueden afectar desde hoy. Recordemos el gran éxito que fue Google Photos y sus novedades el año pasado.

El segundo son productos igualmente interesantes o servicios que podremos tener más cerca. Quizás un nuevo Cardboard?? Quizás unas nuevas Google Glass?? Un ChromeCast?? o mejor aun, alguna novedad que ahora mismo no podemos siquiera hacernos idea ¿?

Bien, comienza la cuenta atrás, en unas horas lo sabremos. Lo mejor de todo es que por suerte o desgracia, y aunque suene mal decirlo por el poder que ostenta Google en ello, de lo que salga esta tarde del Keynote tendrá una repercusión directa y enorme en la gran mayoría, a fin de cuenta, quien es capaz de decir a día de hoy que no usa algún servicio de Google 😉

 

Volver a arriba

Sobre Mí

Cambiar a la versión para móviles

Creative Commons License
Alma Oscura por Theliel is licensed under a Creative Commons Reconocimiento-No comercial-Sin obras derivadas 3.0 Unported License.
Basado en el trabajo de blog.theliel.es.
Para otros permisos que puedan exceder el ámbito de esta licencia, contactar en blog.theliel.es/about/contactar.