El 24-07-2014 23:42, Hugo Salgado escribió:
> Acá estoy! De viaje por eso no respondo mucho... pero sí
> leo y sigo vivo :)
Me alegro mucho. Ojalá que no andes viajando cerca de Ucrania eso sí.
> cacert no mucho parece. Cómo fue eso que lo sacaron de ubuntu?
Creo que lo sacaron porque aún no pasamos una auditoría externa
(siguen trabajando en hacer que las cosas lleguen al nivel requerido
para pasar la auditoría, si alguna vez la hacen, no estoy seguro de en
qué estan). Otro problema es que el certificado raíz está firmado usando
MD5, y como MD5 se considera inseguro para su uso en certificados,
entonces se supone que el certificado raíz es inseguro. Pero como es una
auto-firma, o tienes el certificado raíz correcto, en cuyo caso la firma
no importa, o tienes el certificado incorrecto, en cuyo caso tampoco
importa porque siempre va a validar.
Está planeado generar un nuevo certificado raíz, porque el que está
en uso lleva un buen tiempo, y no va a pasar una auditoría (no es
posible demostrar que nadie tiene una copia por ahí), pero generar
certificados nuevos es bastante caro, para el bolsillo de CAcert, así
que lo van a postergar hasta que se tenga la seguridad de que el
certificado nuevo sí sobrevivirá a la auditoria, cosa de no tener que
hacer el mismo gasto 2 veces.
Otro problema relativamente serio, es que no logran ponerse de
acuerdo para crear una licencia de uso para personas que no son miembros
de CAcert, me explico:
1.- Si eres miembro de CAcert, juegas con las reglas de CAcert, si hay
problemas, arbitraje y puedes conseguir una indemnización máxima de 1000
euros.
2.- No eres miembro de CAcert, no juegas con las reglas de CAcert, si
hay problemas, puedes llorarle a un juez que confiaste en CAcert y te
falló, y que te den 1 billón de dólares de indemnización. CAcert intentó
evitar eso creando una licencia que no permitía a las personas que no
son miembros de CAcert confiar en los certificados de CAcert (algo así
como "usted los puede usar, pero no puede confiar en ellos. Si le falla
y nos demanda, nosotros diremos que usted no tenía derecho a confiar en
nosotros, así que no se puede quejar".
Pero cuando los tipos de.... creo que RedHat vieron eso, dijeron:
"ah, pero ¡esa licencia no es libre! ¡Usted limita al usuario!".
Y entonces hubo incontables mensajes con jerga pseudo legal,
respecto a cómo evitar el peligro de que demanden a CAcert (al parecer,
no basta con el típico "esto se entrega 'as is', y si falla es problema
suyo". A esas alturas dejé de leer los correos, me marearon con tanto.
En fin, hay gente nueva, y espero que el proyecto continúe. Otro
problema es que parece que FireFox 31 no pesca el certificado raíz, por
la firma en MD5, no sé como se va a resolver eso.
Saludos