From d6bb7c83d5da13d22a702db095c34f8aea29da1e Mon Sep 17 00:00:00 2001 From: Nulo Date: Mon, 12 Jun 2023 17:54:36 -0300 Subject: [PATCH] =?UTF-8?q?"Seguridad=20de=20la=20infraestructura=20de=20l?= =?UTF-8?q?laves=20p\303\272blica=20(PKI):=20mencionar=20cuando=20se=20imp?= =?UTF-8?q?lement=C3=B3=20en=20LE?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- Seguridad de la infraestructura de llaves pública (PKI).md | 7 ++++++- 1 file changed, 6 insertions(+), 1 deletion(-) diff --git a/Seguridad de la infraestructura de llaves pública (PKI).md b/Seguridad de la infraestructura de llaves pública (PKI).md index 9e6e332..4937bb6 100644 --- a/Seguridad de la infraestructura de llaves pública (PKI).md +++ b/Seguridad de la infraestructura de llaves pública (PKI).md @@ -49,6 +49,11 @@ Esto nos deja saber si se sacaron certificados inautorizados, pero no nos deja p Gracias a [RFC8657] Certification Authority Authorization (CAA) Record Extensions for Account URI and Automatic Certificate Management Environment (ACME) Method Binding, podemos pedirles a los servidores de expedición de certificados que solo saquen certificados bajo ciertos proveedores y métodos. Esto nos permite limitar la expedición a un proveedor y al método `dns-01`. De esta manera, aún si pueden interceptar las conexiones a nuestra IP (via BGP hijacking o comprometiendo a nuestro ISP o...) no pueden generar certificados (tendrían que hackear nuestro DNS). -GrapheneOS [implementa esto](https://github.com/GrapheneOS/ns1.grapheneos.org/blob/bc06ac067c5786180cceccdf8466b0a94a1a7e5c/zones.yaml#LL23C65-L23C65) pero usa http-01. Esto reduce las posibilidades de ataque (al menos solo tenés que confiar en Let's Encrypt) pero no es perfecto. +Let's Encrypt lo implementó en su entorno de prueba [en 2018] y en producción [en diciembre 2022]. Osea: ¡ya lo podemos usar! + +[en 2018]: https://community.letsencrypt.org/t/acme-caa-validationmethods-support/63125 +[en diciembre 2022]: https://community.letsencrypt.org/t/enabling-acme-caa-account-and-method-binding/189588 + +GrapheneOS [usa esto](https://github.com/GrapheneOS/ns1.grapheneos.org/blob/bc06ac067c5786180cceccdf8466b0a94a1a7e5c/zones.yaml#LL23C65-L23C65) pero usa http-01. Esto reduce las posibilidades de ataque (al menos solo tenés que confiar en Let's Encrypt) pero no es perfecto. [RFC8657]: https://datatracker.ietf.org/doc/html/rfc8657