BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Bugs/Devel

Certificado SSL de bandaancha revocado

BocaDePez
BocaDePez

Ha salido la nueva beta de OS X High Sierra.

Con los navegadores que utilizan el almacén de certificados de OS X (Chrome, Safari), desde esta versión, es imposible entrar en bandaancha. El mensaje de error indica que el certificado está revocado.

captura-pantalla-2017-06-30-18-06-37.png

Con firefox sí se puede acceder, ya que usa su propio almacén, pero también muestra como insegura la conexión.

Parece que vuelven los problemas con StartCom

BocaDePez
BocaDePez

Te estás metiendo con StartCom? Qué pasa, eres antisemita?

🗨️ 1
Bramante

Ya no son israelíes, lo compraron los chinos.

BocaDePez
BocaDePez

En windows sigue funcionando correctamente.

🗨️ 2
BocaDePez
BocaDePez

Windows es un coladero.

🗨️ 1
BocaDePez
BocaDePez

Una tontería 1.000 veces repetida sigure siendo una tontería. Firefox usa su propio contenedor de certificados, no el de windows, y funciona perfectamente en windows con BA. El problema es de OS

Si consultas el resumen de vulnerabilidades conocidas te llevarás alguna sorpresa cvedetails.com/top-50-products.php

yomimmo
1

En windows como te han comentado no da ningun problema de seguridad con Firefox, Chrome o IE11.

Mas que en el certificado diria que el problema est en OS X

🗨️ 9
BocaDePez
BocaDePez

Dices eso y te quedas tan tranquilo ?

El problema está en el certificado.

🗨️ 1
yomimmo
bacert.png

Los certificados por StartCom antes de una fecha determinada no perdieron su validez ni se revocaron, de echo yo tenia varias webs con certificados StartCom y las he ido pasando a Let'Encrypt a medida que ha ido llegando su fecha de caducidad.

yomimmo

Los certificados emitidos por StartCom antes de Octubre de 2016 siguen siendo validos, los que no son validos son los emitidos con posterioridad, en tanto no caduque el certificado o se revoque este sigue siendo valido.

🗨️ 5
Bramante

Sí, efectivamente, pero Google ya te avisa que iban a eliminar por completo la confianza en estos dos certificadores a medio plazo:

Certificates issued before this date may continue to be trusted, for a time, if they comply with the Certificate Transparency in Chrome policy or are issued to a limited set of domains known to be customers of WoSign and StartCom. Due to a number of technical limitations and concerns, Google Chrome is unable to trust all pre-existing certificates while ensuring our users are sufficiently protected from further misissuance. As a result of these changes, customers of WoSign and StartCom may find their certificates no longer work in Chrome 56. In subsequent Chrome releases, these exceptions will be reduced and ultimately removed, culminating in the full distrust of these CAs.

Y en esas estamos.

🗨️ 4
yomimmo
🗨️ 3
Bramante
🗨️ 2
yomimmo
🗨️ 1
Bramante

Con firefox sí se puede acceder, ya que usa su propio almacén, pero también muestra como insegura la conexión.

En el caso de Firefox es por el contenido mixto. La web sirve cierto contenido vía https y otro vía http, por eso Firefox te la marca como insegura, pero no te pega el pantallazo de alerta.

djnacho
1

El problema no es el certificado. De hecho y por si las moscas (Josh me va a matar por desconfiar ??) lo he repasado con las herramientas para desarrolladores de Chrome y el certificado es válido hasta el 03/09/2017. La conexión es segura pero... y he aquí el pero..., se mezcla contenido seguro y no seguro (o sea, se incluye contenido HTTP sin cifrar por una conexión HTTPS, lo cual en teoría no es nada bueno).

Y aquí es donde entran los maestros Josh y Txuspe para indicarnos si esto es relevante, o bien podemos dar una patada a Safari en OSX (es un decir, por supuesto).

Un saludo ?

🗨️ 2
Bramante

Como medida preventiva, yo no usaría ningún certificado de WoSign o StartCom en una página web, ni emitido antes, ni después de octubre de 2016.

Hay otras opciones gratuitas como Let's Encrypt.

BocaDePez
BocaDePez

En algunas páginas la culpa es de la publicidad. Por ejemplo en la portada con adblock aparece como 100% segura, si lo desactivas ya aparece el contenido mezclado.

BocaDePez
BocaDePez

Yo he actualizado el iPhone pero no el Mac y en iOS 11 ocurre, pero en MacOS Sierra no, supongo que algo habrán tocado en la actualización o algo habrán hecho más estricto.

BocaDePez
BocaDePez

Yo leí have tiempo que los certificados de startcom ya no eran de confianza. No se que tal Le'ts encrypt?

BocaDePez
BocaDePez

También afecta a iOS 11, que saldrá tras el verano.

Y Google ya ha dejado claro que estos certificados dejarán de funcionar próximamente aunque no dan fecha concreta. bugs.chromium.org/p/chromium/issues/detail?id=685826

El certbot de Let's Encrypt es sencillo de instalar y te deja el certificado instalado inmediatamente.

De verdad que el foro está abandonadísimo...

Josh

Gracias por avisar. Tema solucionado.