Certificado tremendamente raro...
Javier Fernandez A.
que no estoy suscrito, pero el repositorio de mensajes es publico, asi
que... si quieren le dan una mirada a:
http://www.mail-archive.com/crypto...@metzdowd.com/msg11309.html
Me metí al sitio, y hasta donde mi Firefox sabe, el certificado ES
legitimo... impresionante... realmente dudo que mozilla.com haya
prestado el dominio para sacar ese certificado.
La pregunta es: ¿sirven de algo los certificados EV? XD
Saludos
Hugo Salgado
> De rebote, me lleg� un link a un mensaje de una lista de correos en la
> que no estoy suscrito, pero el repositorio de mensajes es publico, asi
> que... si quieren le dan una mirada a:
> http://www.mail-archive.com/crypto...@metzdowd.com/msg11309.html
>
> legitimo... impresionante... realmente dudo que mozilla.com haya
> prestado el dominio para sacar ese certificado.
>
> La pregunta es: �sirven de algo los certificados EV? XD
El certificado *es* v�lido! Tiene una extensi�n que permite que un
certificado entregado a una entidad tambi�n sea v�lido dentro
de otros dominios, adem�s del original. Entonces mozilla
efectivamente autoriza a EdgeCast a hacerse pasar por su
nombre, supongo que dando el permiso en la CA (Digicert).
Mozilla lo hace porque tiene contratado el servicio de CDN
con edgecast (una nube).
El punto es que eso hace demasiado vulnerable el sistema...
lo que est� diciendo el tipo es que entonces se hace muy
apetitoso atacar cualquier nodo de nube de edgecast, porque
podr�as hacerte pasar por cualquiera de los m�s de 100 nombres
que tiene el certificado, y ser�a ssl-ev v�lido!
Hugo
Javier Fernandez A.
...
>> http://www.mail-archive.com/crypto...@metzdowd.com/msg11309.html
>>
>> Me metí al sitio, y hasta donde mi Firefox sabe, el certificado ES...
> El certificado *es* válido! Tiene una extensión que permite que un
> certificado entregado a una entidad también sea válido dentro
> de otros dominios, además del original. Entonces mozilla
> efectivamente autoriza a EdgeCast a hacerse pasar por su
> nombre, supongo que dando el permiso en la CA (Digicert).
> Mozilla lo hace porque tiene contratado el servicio de CDN
> con edgecast (una nube).
Ah... yo pensé que el certificado habia sido otorgado sin validar los
dominios (como cuando un reseller de Comodo le dió un certificado de
mozilla.com a una persona, sin hacer ningun tipo de verificación).
Entendí mal el problema.
Lo que tampoco entendí fue a qué se referia con:
"I've tried connecting to the above site with HTTPS and get a normal non-EV
Sybil certificate even though it's rooted in an EV CA... well,
pseudo-rooted,
the "root" is then signed by an old Entrust certificate, and the
certificate
itself is another multi-domain one, for Delta, Amtrak, Air France, KLM,
Alaska
Air, and others."
Bueno, de cualquier modo, habia entendido mal el problema... que
cosas, ¿no? XD
Best Regards