[l-plug] OT: certificados SSL wildcards
12 views
Skip to first unread message
Edson Forno
Apr 8, 2015, 11:23:52 PM4/8/15
to linux...@linux.org.pe
Buenas tardes con todos
Tengo una duda con los certificados SSL comodines o wildcards
Si saco un certificado SSL comodín tengo que indicar el número de
subdominios y cuales serán estos o solo es necesario decir el número de
subdominios y luego puedo ir usándolos de acuerdo a como vayan creándose las
paginas o servicios?
Por ejemplo si saco *.miempresa.com para 3 subdominios, luego puedo usarlo
en:
Después de un tiempo dejar de usarlo en intranet.miempresa.com y usarlo en
pasarela.miempresa.com
O desde un inicio tengo que registrar los subdominios?
Si la respuesta a esta última pregunta es afirmativa puedo primero registrar solo 2 y luego de un tiempo agregar otro subdominio?
Gracias por su ayuda
Yannick Warnier
Apr 9, 2015, 9:09:26 AM4/9/15
to linux...@linux.org.pe
Hola Edson,
Normalmente un wildcard te permite sacar cualquier cantidad de
subdominios que tu definas.
Si lo defines bien (como dices, *.miempresa.com) entonces podrás usarlo
para tanto:
* www.miempresa.com (pero también https://miempresa.com sin prefijo)
* intranet.miempresa.com
* correo.miempresa.com
Dependiendo del tipo y costo del certificado que compres y del
navegador, tendrás distintos símbolos en la barra de dirección.
Por ejemplo, paypal.com te da un candado verde, que me parece que es el
más seguro (pero no es wildcard).
Si miras https://chamilo.org/ verás un candado gris. Cuando le das clic
en el candado, te dirá: "This site is secure", pero también "This
website does not supply ownership information.". Esto es porque es un
certificado wildcard barato :-)
No lo preguntaste pero ya que hablamos de certificados SSL, hay que
cuidar dos cosas:
1) donde lo compras / quien lo emite
2) el nivel de cifrado (SHA1 vs SHA256)
Para 1), es importante notar que el soporte por los navegadores depende
de si la fuente de certificación es confiable o no. Firefox y Chrome
tienen listas de emisores de certificados no confiables (en un momento
habían puesto Godaddy ahí). Si usas uno de estos navegadores y visitas
una página con este certificado, te muestra una gran página de
advertencia diciendo que este sitio es inseguro, lo que en mi opinión es
peor que no tener certificado (dependiendo de lo que haces ahí)
Para 2), en el 2014 hubieron bastante problemas con SSL, y por lo
general el método de cifrado SHA-1 para los certificados se empezó a
considerar como "muy inseguro". Por lo tanto, al momento de generar tu
certificado, hay que pedir uno que esté en SHA-256. El problema es que
esto no es *solo* pedirlo con un click. Tienes que generar tu CSR
(Certificate Signing Request) con un comando que incluya el parámetro
"sha256". Luego, al recuperar el "keychain" (las llaves de la autoridad
de certificación) del proveedor, hay que recuperar obligatoriamente las
que están en versión 256 (menos la del proveedor al nivel más alto, que
esta puede quedar en SHA-1 porque se usa de otra manera).
Sobre este punto, quizás unas buenas fuentes de información:
https://shaaaaaaaaaaaaa.com/
https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1
https://www.ssllabs.com/ssltest/analyze.html
https://github.com/konklone/shaaaaaaaaaaaaa/issues/24
Considerando todos estos detalles, tengo buena experiencia con
Rapidssl.com, que son relativamente baratos ($199/año para un wildcard,
$50/año para uno normal) desde hacen alrededor de 5 años.
Que te diviertas! :-)
Yannick
> _______________________________________________
> Lista de correo Linux-plug
> Temática: Discusión general sobre Linux
> Peruvian Linux User Group (http://www.linux.org.pe)
>
> Participa suscribiéndote y escribiendo a: linux...@linux.org.pe
> Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
> http://voip2.voip.net.pe/mailman/listinfo/linux-plug
>
> IMPORTANTE: Reglas y recomendaciones
> http://www.linux.org.pe/listas/reglas.php
> http://www.linux.org.pe/listas/comportamiento.php
> http://www.linux.org.pe/listas/recomendaciones.php
>
> Alojamiento de listas cortesia de http://cipher.pe
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: linux...@linux.org.pe
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://voip2.voip.net.pe/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
Alojamiento de listas cortesia de http://cipher.pe
Normalmente un wildcard te permite sacar cualquier cantidad de
subdominios que tu definas.
Si lo defines bien (como dices, *.miempresa.com) entonces podrás usarlo
para tanto:
* www.miempresa.com (pero también https://miempresa.com sin prefijo)
* intranet.miempresa.com
* correo.miempresa.com
Dependiendo del tipo y costo del certificado que compres y del
navegador, tendrás distintos símbolos en la barra de dirección.
Por ejemplo, paypal.com te da un candado verde, que me parece que es el
más seguro (pero no es wildcard).
Si miras https://chamilo.org/ verás un candado gris. Cuando le das clic
en el candado, te dirá: "This site is secure", pero también "This
website does not supply ownership information.". Esto es porque es un
certificado wildcard barato :-)
No lo preguntaste pero ya que hablamos de certificados SSL, hay que
cuidar dos cosas:
1) donde lo compras / quien lo emite
2) el nivel de cifrado (SHA1 vs SHA256)
Para 1), es importante notar que el soporte por los navegadores depende
de si la fuente de certificación es confiable o no. Firefox y Chrome
tienen listas de emisores de certificados no confiables (en un momento
habían puesto Godaddy ahí). Si usas uno de estos navegadores y visitas
una página con este certificado, te muestra una gran página de
advertencia diciendo que este sitio es inseguro, lo que en mi opinión es
peor que no tener certificado (dependiendo de lo que haces ahí)
Para 2), en el 2014 hubieron bastante problemas con SSL, y por lo
general el método de cifrado SHA-1 para los certificados se empezó a
considerar como "muy inseguro". Por lo tanto, al momento de generar tu
certificado, hay que pedir uno que esté en SHA-256. El problema es que
esto no es *solo* pedirlo con un click. Tienes que generar tu CSR
(Certificate Signing Request) con un comando que incluya el parámetro
"sha256". Luego, al recuperar el "keychain" (las llaves de la autoridad
de certificación) del proveedor, hay que recuperar obligatoriamente las
que están en versión 256 (menos la del proveedor al nivel más alto, que
esta puede quedar en SHA-1 porque se usa de otra manera).
Sobre este punto, quizás unas buenas fuentes de información:
https://shaaaaaaaaaaaaa.com/
https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1
https://www.ssllabs.com/ssltest/analyze.html
https://github.com/konklone/shaaaaaaaaaaaaa/issues/24
Considerando todos estos detalles, tengo buena experiencia con
Rapidssl.com, que son relativamente baratos ($199/año para un wildcard,
$50/año para uno normal) desde hacen alrededor de 5 años.
Que te diviertas! :-)
Yannick
> Lista de correo Linux-plug
> Temática: Discusión general sobre Linux
> Peruvian Linux User Group (http://www.linux.org.pe)
>
> Participa suscribiéndote y escribiendo a: linux...@linux.org.pe
> Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
> http://voip2.voip.net.pe/mailman/listinfo/linux-plug
>
> IMPORTANTE: Reglas y recomendaciones
> http://www.linux.org.pe/listas/reglas.php
> http://www.linux.org.pe/listas/comportamiento.php
> http://www.linux.org.pe/listas/recomendaciones.php
>
> Alojamiento de listas cortesia de http://cipher.pe
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: linux...@linux.org.pe
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://voip2.voip.net.pe/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
Alojamiento de listas cortesia de http://cipher.pe
Edson Forno
Apr 9, 2015, 9:43:26 AM4/9/15
to linux...@linux.org.pe
Gracias por tu rpta. Si conozco sobre certificados SSL, generacion primero del CSR y luego hacer el trámite en la entidad certificadora, etc...la parte que no conozco es cuando quieres un SSL wilcard o comodin, es decir, como generar el CSR si son varios
subdominios, si se definen al inicio, si quieres agregar mas subdominios, etc.
Voy a leer los enlaces que indicas y comento cualquier cosa
Gracias
Edson
Enviado desde un dispositivo móvil
-------- Mensaje original --------
De: Yannick Warnier <ywar...@chamilo.org>
Fecha:09/04/2015 08:09 AM (GMT-05:00)
A: linux...@linux.org.pe
CC:
Asunto: Re: [l-plug] OT: certificados SSL wildcards
Yannick Warnier
Apr 9, 2015, 10:03:13 AM4/9/15
to linux...@linux.org.pe
Como te decía al inicio, solo tienes que indicar *.miempresa.com y de
ahí puedes usarlo para cualquier cantidad de subdominios. No tienes que
declarar todos estos dominios al inicio.
ahí puedes usarlo para cualquier cantidad de subdominios. No tienes que
declarar todos estos dominios al inicio.
edafor
Apr 9, 2015, 11:20:54 AM4/9/15
to linux...@linux.org.pe
Gracias por la aclaración
Edson Forno
-----Mensaje original-----
From: Yannick Warnier
Sent: Thursday, April 09, 2015 9:02 AM
To: linux...@linux.org.pe
Subject: Re: [l-plug] OT: certificados SSL wildcards
Edson Forno
-----Mensaje original-----
From: Yannick Warnier
Sent: Thursday, April 09, 2015 9:02 AM
To: linux...@linux.org.pe
Subject: Re: [l-plug] OT: certificados SSL wildcards
Reply all
Reply to author
Forward
0 new messages