Cual es el proceso de validación de un certificado SSL

En otras entradas, hemos hablado de los tipos de certificados que existen y como lo que se valida y el proceso de validación para cada uno de ellos es diferente. Resumo los tipos de certificados:

  1. DV o Validación de Dominio
  2. OV o Validación de Organización
  3. EV o Validación Extendida

El certificado de nivel más alto, incluye la validación requerida por el nivel anterior. Es decir, un certificado OV, requiere una validación de la organización pero también del dominio, y un EV, además de esa validación extendida, validará también la organización y el dominio. Por lo tanto, el proceso de validación de cualquier certificado antes de concederlo siempre será:

  • Se valida el dominio para el que se solicita el certificado. Esto es necesario para los certificados DV, OV y EV y suficiente para un SSL de tipo DV.
  • Se valida la organización para la que se solicita el certificado. Necesario para los certificados OV y EV y suficiente para un SSL de tipo OV
  • Se realizan validaciones adicionales sobre el solicitante del certificado para los SSL de tipo EV.

¿Cómo valido un dominio?

Para validar el dominio, la Autoridad Certificadora (CA) debe asegurarse de que tenemos acceso a la gestión del dominio.

Hay 3 tipos de validaciones: DNS, FILE o EMAIL:

  • Para la validación DNS tendrás que añadir una cadena concreta en un registro DNS.
  • En el caso de FILE, es similar: hay que subir un archivo en una ruta concreta del dominio.
  • Por EMAIL, se enviará un correo con un enlace a una dirección de email fija (admin@example.com…)

Lo normal es que todo este proceso sea transparente para ti si la gestión de las DNS y del certificado los tienes en el mismo hoster.

¿Cómo se valida la organización del certificado?

Al solicitar certificados OV y EV, se pide información completa de la organización y de un Contacto Administrativo dentro de la organziación que respodnerá por la validez de los datos. Con esa información la CA debe asegurarse que los datos son válidos y para ello utiliza la información de entidades y registros públicos, como puede ser el registro mercantil u otros registros similares (p.ej. Google Business o Páginas Amarillas).

Una vez la CA se ha asegurado de la existencia jurídica y operativa de la entidad se realiza una llamada telefónica al teléfono de contacto de la empresa para asegurarse de que todo es correcto.

Para validar una organización, entonces, lo que se se hace es:

  • La CA comprueba que la empresa está registrada y operativa consultando información de autoridades competentes (registro mercantil, etc.)
  • Se valida el domicilio fiscal de la organización
  • Se localiza un teléfono de esa organización y se realiza una llamada de comprobación
  • Se aseguran de que el dominio para el que se solicita el certificado pertenece a la organización

Aunque el proceso está automatizado en gran medida, la concesión del certificado no es inmediata (como puede ser la de un DV), y el proceso puede llevar varios días. Lo bueno es que no tendremos que pasar de nuevo por todo el proceso si solicitamos nuevos certificados para la misma organización: la organización se considera validada durante 27 meses.

Añado un par de enlaces para mostrar cómo hacen esta validación Digicert y Sectigo, dos de las mayores CA:

Y, ¿qué es eso de validación extendida? ¿Cómo se validan los EV?

Vale… me has pillado. Aquí simplemente se indica que las comprobaciones son «más exhaustivas» y yo me remito a lo que diga la guía de CA/Browser forum para la validación extendida (v 1.6.7), llámame cobarde si quieres.

¿Has dicho CA/Browser forum?

CA/Browser forum es el consorcio que agrupa a Autoridades Certificadoras, constructores de software (como Mozilla o Google) y otras entidades relacionadas con las certificaciones y que se encarga de emitir guías y requerimientos que son vinculantes para los miembros del foro.

Sobre la belleza

Hace más de 20 años, viendo el código de Lucene, casi se me saltan las lágrimas. Era simple y elegante, se podía ampliar con facilidad y te sentías obligado a dar lo mejor de ti para mantenerlo tan limpio como al principio.

El código es poesía y programar es un arte, no dejes que nadie diga lo contrario

En algún momento de tu vida te habrá ocurrido algo parecido; te habrás quedado paralizado ante una canción de Jimi Hendrix, un cuento de Rulfo, un cuadro de Goya, una obra de teatro, película, web, ante la tipografía Sabon… Además, si te dedicas a la misma disciplina de la obra, se te habrá pasado por la cabeza alguna de estas opciones:

  1. Admirarlo y seguir con tu vida vestido temporalmente con un rayito de sol. «Hay gente que hace cosas bellas, la humanidad está salvada».
  2. Deprimirte con la comparación. «Madre mía, y yo haciendo estas mierdecillas. Mejor lo dejo».
  3. Retenerlo en tu cabeza y establecerlo como objetivo. «A Dios pongo por testigo que un día haré un X tan bueno como este».

Es más, seguramente lo habrás mezclado todo: «Guau qué bonito, no le llego ni a la suela del zapato, pero ya verás como algún día, algún día…» y pienso que esta es la mejor forma tomarlo. Así hay que enfrentarse a la belleza en tu disciplina: recibe con gusto el shock que te provoca, asume con modestia que te queda camino para llegar ahí y ponte a trabajar para ello.

Trabaja con la intención de lo que hagas sea infinitamente bello.

Para qué sirve un certificado de tipo OV

Los certificados OV (Organization Validation) están entre los certificados DV (Domain Validation) y EV (Extended Validation), tenéis una definición en la entrada sobre los tipos de certificado de seguridad. Además del dominio, el certificado OV nos asegura que ese dominio pertenece a la organización que se indica. En principio no parece una utilidad loca, y los navegadores actuales no diferencian este tipo de certificado de ninguna forma particular.

El hecho de que el certificado valide también la organización, permite evitar algunos casos de phishing. Por ejemplo, yo puede solicitar un certificado de tipo DV para cualquier dominio, solo tengo que demostrar que la gestión del dominio es mía. Así, puedo contratar el dominio bancosantand.er (como curiosidad .er es el ccTLD de Eritrea ;), crear una página web lista para conseguir tus claves del banco, y poner un bonito certificado DV que me asegure que todo el tráfico entre el cliente y la página web está cifrado. Todo perfecto y «seguro» porque la web lleva candadito.

Esto no podría ocurrir con un certificado de tipo OV. Para conceder un certificado OV, la Autoridad Certificadora, solicitará información comercial sobre la empresa del sitio que deberá estar incluida en alguna base de datos de registro mercantil o algún directorio de empresa de confianza. No solo la comunicación está cifrada, sino que el destinatario de esa comunicación es una empresa validada.

¿Cómo sé el tipo de certificado instalado? ¿Cómo sé a quién estoy enviando mis datos? Ahora mismo, la única forma es yendo al detalle del certificado y comprobar que se muestra la organización dentro del Subject Name. En Firefox puedes comprobar el tipo del certificado en la sección Certificate Policies del detalle del certificado:

"Certificate Policies" de un certificado de tipo OV tal y como se muestran en Firefox
Detalle del certificado en Firefox – Certificate Policies

En el caso de los EV, se muestra esta información más claramente… aunque solo un poco más:

Los certificados OV tienen su utilidad, pero es difícil que un usuario normal vaya a buscar esta información en el certificado. De hecho, no tengo todas conmigo que, ahora mismo, vayan más allá del «candadito», y que el tráfico vaya cifrado no significa que tus datos estén a salvo.

Los nombres de dominio más caros

El dominio shoes.com se ha vendido por tercera vez en 6 años, ¿merece la pena pagar por esos dominios premium? Algunos no solo dirán que sí, si no que basan su exitoso modelo de negocio en ellos, desde SEDO a Dan o los propios registries que tienen sus propios nombres de dominio premium, además de aquellos dominios de 1 o 2 caracteres. Y les va bien, SEDO lleva funcionando desde 2001.

Existe un amplio mercado para estos dominios golosos, que van desde cientos a millones de euros. ¿Valen ese dinero? ¿Para qué querríamos gastarnos miles de euros en un dominio? Vamos a ver algunos de los dominios más caros (la lista varía, pero nos vale para hacernos una idea):

DominioPrecio de venta (mill. de USD)Año de venta
CarInsurance.com49,72010
Insurance.com35,62010
VacationRentals.com35,02007
PrivateJet.com30,12012
Voice.com30,02019
Internet.com18,02009
360.com17,02015
Insure.com16,02009
Sex.com14,0
13,0
2005
2010
Hotels.com11,02001
El mundo está loco, loco, loco…

¡Guau! Sin duda 2010 fue un gran año para algunos.

Como vemos, la mayoría son nombres genéricos, susceptibles de convertirse en buscadores y muchos ya tienen un contenido detrás, es decir no compras solo el nombre, sino el negocio que ya hay o que puede haber (la historia que hay sobre alguna de estas compras).

Si eres una empresa, puedes permitirte el lujo de pagar por ciertos dominios (¿millones?) para posicionar tu marca, abrir un nuevo negocio o lo que sea, sobre todo si compras algo más que el nombre, si compras visitas, ingresos, etc. Puede que tenga cierta lógica.

Si eres un particular y esperas forrarte con un dominio, diría que tu tiempo ha pasado (creo) y ándate con ojo no salgas esquilmado.

Encontrar el nombre del dominio adecuado, el nombre para una marca, no es sencillo, pero piensa que algunas de las empresas actuales más importantes tienen unos nombres bastante mejorables, y ahí andan (¡Hola Microsoft, Apple…!)

La vista de lectura de Firefox

Ayer (2020.07.2) se actualizó Firefox a su versión 78, con diversas mejoras y bla bla bla. Entre esas mejoras, veo que ha habido algunos cambios en la «Vista de lectura». ¿Que no sabes qué es la vista de lectura? ¿Que, a lo peor, utilizas Chrome?

Si acostumbras a leer blogs, hay dos funcionalidades que vienen con Firefox que te harán la vida más cómoda: la vista de lectura y Pocket.

La vista de lectura te permite centrarte en el contenido del sitio web, eliminando las distracciones. Puedes aumentar el texto, modificar el fondo (modo oscuro, sepia…) y ahora también puedes escuchar el artículo.

Si la página lo permite, la vista de lectura no está disponible en todas las páginas, te aparece el icono de lista de lectura:

Artículo "normal", sin aplicar la vista de lectura
Artículo en Uberbin.net

Y así es como se ve un artículo en modo «vista de lectura»:

Vista de lectura del artículo anterior
El mismo artículo visto con la vista de lectura

Personalmente es algo que utilizo bastante a menudo y que combina perfectamente con la opción de guardar en Pocket (otra joyita).