Alas

El eunuco se acercó a la fuente con desgana. Llevaba el mismo cuenco de plata en la mano izquierda, el mismo cuenco que hundía en la fuente de hidromiel tres veces al día. Mientras llenaba el recipiente, observó el reflejo de su torso desnudo: el pecho ancho, el cuello musculado, la nariz larga y recta, los ojos grandes, el negro cabello recogido en trenza. Sacó el cuenco colmado y lo sujetó con las dos manos. Avanzó hacia una esquina del jardín con parsimonia, con cuidado de no derramar ninguna gota. Al llegar al lugar que habían determinado para él, agachó la cabeza y elevó las manos que sujetaban la vasija, ofreciéndola al cielo. Decenas de mariposas se acercaron a libar, colibríes multicolores, algún escarabajo alado… Cuando cesó el zumbido encima de su cabeza, el eunuco bajó el cuenco vacío y miró sus musculados brazos inútiles.

Alternativas a Google

Si Google tiene el 99.99% del mercado de búsquedas… solo puede perder mercado ;)

Vamos a ver algunos buscadores que le pueden quitar parte de ese pastel, atacando por el flanco débil del monstruo: la privacidad.

  • DuckDuckGo (EUA). Una de las alternativas más reconocidas. Yo estoy enamorado de sus bangs, aunque reconozco que algunas búsquedas locales dejan que desear.
  • StartPage (Paises Bajos). Con opción de vista anónima de las páginas que se muestran en las búsquedas. Tiene su origen en Ixquick.
  • Qwant (Francia). Otro buscador centrado en la privacidad y made in Europe. Aporta un componente social que no disponen los anteriores. Lo tengo pendiente de testear. De entrada es rápido, hay que ver si también es eficaz.
  • Ecosia (Alemania). Seamos modernitos y mezclemos ecología (plantar árboles) y privacidad. También a tener en cuenta.

Y otra montonera más en la Wikipedia, como no.

Si sigues usando Google, quizá te interese echar un ojo a las opciones de búsqueda que tiene.

Certificados, ¿qué es el protocolo ACME?

Mec, mec. El Coyote persiguiendo al Correcaminos montado en un cohete marca ACME
El verdadero ACME

La primera vez que oyes lo de ACME, te imaginas al Coyote persiguiendo al Correcaminos y la voz en voz diciendo algo como «Cohete interestelar marca ACME» pero la verdad es mucho más prosaica

ACME
Automatic Certificate Management Environment
IETF RFC 8555

Para cualquier SSL, hay que seguir un proceso algo laborioso:

  1. Se solicita el certificado que queremos con los datos necesarios (ver Tipos de certificados de seguridad):
    • Solo el nombre de dominio (DV)
    • Datos de la organización (OV) y contactos en la empresa
    • Datos detallados de la organización y contactos en la empresa (EV)
  2. Se valida ese certificado
    • Para los DV, la validación es sencilla y se trata de asegurar de que tenemos acceso a la gestión del dominio.
      Hay 3 tipos de validaciones: DNS, FILE o EMAIL. Para la validación DNS tendrás que añadir una cadena concreta en un registro DNS. En el caso de FILE, es similar: hay que subir un archivo en una ruta concreta del dominio.
      Por EMAIL, se enviará un correo con un enlace a una dirección de email fija (admin@example.com…)
    • Para los OV y EV, la Autoridad Certificadora (CA), validará en BB.DD. externas la información o llamará al contacto indicando solicitando información adicional. Esta validación puede llevar varios días.
  3. Se genera el Certificate Signing Request (CSR) para la CA
  4. La CA emite el certificado y ya se puede descargar e instalar

Estos pasos se han hecho muchas veces de forma manual, intercambiando correos con la CA para poder avanzar en el proceso. Aquí es donde entra ACME que simplifica y automatiza todo esto y que, aunque vino de la mano de Let’s Encrypt, es un estándar IETF y ha sido adoptado por otras CA.

Cómo funciona ACME

El proceso de solicitud e instalación con o sin ACME es el mismo: solicitud, validación, descarga e instalación. ACME lo que hace es automatizar todo el proceso.

Proceso de solicitud de un SSL para un cliente registrado
  1. El primer paso es registrarse en el servidor de certificados como cliente ACME. Esto nos permite realizar solicitudes autorizadas de SSL.
  2. Generas la petición para emitir un certificado
  3. Debes probar que gestionas el dominio para el que solicitas el certificado (caso de DV)
  4. Finalizas la petición enviando el CSR
  5. La CA emite el certificado y ya lo puedes descargar e instalar

El proceso como vemos es el mismo. La diferencia está en que con ACME, todo esto se hace de forma automática. Se instala un agente en el servidor web (certbot o cualquier otro compatible) que es el encargado de la comunicación con la CA y de resolver las peticiones de validación del dominio. Las comunicaciones entre este agente/cliente y el servidor se realizan a través de mensajes JSON y por protocolo seguro (HTTPS) y no es necesaria la intervención del usuario de forma directa.

Referencias

DNS: Qué son los Glue Records

Cuando registras un dominio, tienes que proporcionar al registro (registry) que gestiona la extensión una serie de datos:

  • Datos del titular del dominio
  • Datos del contacto administrativo
  • Datos del contacto técnico
  • Servidores DNS

A la hora de indicar los servidores DNS que van a resolver el dominio en el hosting, puede que quieras utilizar un subdominio de ese dominio… y en ese caso tendríamos un problema

…me llaman el hombre bucle

Si yo quiero registrar el dominio chupicalabaza.info y los servidores DNS que quiero utilizar son:

  • ns1.chupicalabaza.info
  • ns2.chupicalabaza.info

Lo normal es que me dé error, puesto que el dominio principal, chupicalabaza.info, no está todavía registrado y para resolver un subdominio tengo que resolver antes el dominio principal.

DNS arbol.svg
Árbol DNS para resolver es.wikipedia.org
CC BY-SA 2.5, Wikimedia Commons

Para resolver este caso, es para lo que están los glue records. Estos registros permiten indicar al registry, la IP asociada a esos servidores DNS que están bajo un dominio pendiente de registrar. Así de (más o menos) sencillo.

Obviamente esto no nos exime de crear las entradas necesarias para la configuración del registro; es un paso necesario para poder asignar los hosts en estas situaciones particulares.

Referencias

  • DonDominio lo explica muy bien en su ayuda… hasta he puesto vocecitas en el diálogo ;)
  • En la Wikipedia [EN] tenéis también una breve explicación

«The Book Cover Archive», portadas de libros para inspirarte

Una amiga elige un libro por:

  • La portada
  • La primera página
  • La última página

Yo no leo la última página y me suelo fiar mucho (quizá demasiado) del resumen que hace la editorial del mismo. Hay auténticos genios escribiendo estos textos y debería dejar de prestarles atención: algunos son mucho mejores que el libro en sí.

Y a la portada le haces caso, quieras o no… menos a las de ciencia ficción y románticas que alguien ha decidido ofendernos con ellas.

Book Cover Archive es un repositorio de portadas de libros, tanto antiguos como modernos. Es realmente adictivo.

Como lectura relacionada, en Babelia, publicaron el 2020.05.20 un breve análisis de las portadas de 8 libros que salieron en la primavera de 2020: «Juzgar un libro por su portada: las mejores cubiertas de la primavera«.

Muerte de un fondista

Los espectadores aplaudían a rabiar y el sonido de las palmadas reverberaba por todo el estadio mientras el corredor seguía dando vueltas a la pista moviendo los brazos. Las pantallas mostraban la llegada del maratoniano al estadio: la saliva seca en la comisura de los labios, el cuerpo enjuto bañado en sudor, los ojos fuera de las órbitas y el continuo movimiento de brazos y piernas buscando la meta. Los aplausos iban disminuyendo, incómodos, pero el corredor seguía y seguía dando vueltas y obligaba a los espectadores a continuar con las loas. “¡Qué esfuerzo! ¡Es un titán!”. El realizador de televisión dirigió la cámara al campeón y en las pantallas gigantes se pudo ver con claridad el miedo, el grito mudo en los labios resecos: “Paradme. Paradme. Paradme”.

Introducción algo caótica a eIDAS

Qué es eIDAS y qué aporta

eIDAS es un Reglamento de la UE que establece un conjunto de normas para la identificación electrónica y los servicios de confianza para transacciones electrónicas en el mercado único europeo.
Establece de esta forma un marco común a todos los países de la UE para la interacción electrónica segura entre los ciudadanos, las empresas y las autoridades públicas.

El eIDAS regula:

  • Los requisitos a cumplir para una firma electrónica avanzada
  • Qué se considera firma electrónica cualificada
  • Qué es un certificado cualificada
  • Los servicios de confianza para crear, validar y verificar firmas electrónicas, sellos de tiempo (timestamp), sellos y certificados y define también quienes son los prestadores de servicios de confianza

Tipos de Firma Electrónica

eIDAS define dos tipos de Firmas Electrónicas:

  • Firmas Electrónicas Avanzadas, Advanced Electronic Signatures (AdES)
  • Firmas Electrónicas Cualificadas, Qualified Electronic Signatures (QES)

De esta forma, se proporciona coherencia en todos los estados miembros de la UE en la forma en que se lleva a cabo la firma de documentos.

Tanto la AdES como la QES prueban la identidad del firmante y son el equivalente a una firma analógica. La principal diferencia es la aceptación por parte de otros estados miembros de la UE (es decir, estados distintos de donde se originó el proveedor de confianza). AdES puede ser aceptado por otros estados miembros, pero QES debe ser aceptado. También es importante señalar que no se negará a una AdES el efecto jurídico y la admisibilidad como prueba en los procedimientos judiciales por el mero hecho de que esté en forma electrónica o que no cumpla los requisitos para las firmas electrónicas cualificadas.

Por último, eIDAS también introduce el reconocimiento de los sellos electrónicos que son como las firmas pero que sólo pertenecen a personas jurídicas y entidades corporativas. Esto permite a las organizaciones firmar documentos como un departamento en lugar de tener que utilizar un firmante autorizado.

Los sellos de tiempo (timestamp) se usarán en todas las firmas electrónicas a fin de verificar la hora vinculada a la firma.

Servicios que se ofrecen y quién lo puede ofrecer

Bajo ese marco regulatorio, se ofrecen los siguientes servicios:

  • Certificado cualificado para la firma electrónica
  • Certificado cualificado para el sello electrónico
  • Certificado cualificado para la autenticación de sitios web
  • Servicio de validación cualificado para la firma electrónica cualificada
  • Servicio de preservación cualificado para la firma electrónica cualificada
  • Servicio de validación cualificado para el sello electrónico cualificado
  • Servicio de preservación cualificado para el sello electrónico cualificado
  • Sello de tiempo cualificado
  • Servicio cualificado de entrega electrónica registrada

Trusted List Browser
Busca en la página de la UE los servicios de confianza por distintos criterios de búsqueda (país, tipo o nombre de servicio…)

Y para poder ofrecer alguno de estos servicios, la empresa que los ofrezca debe ser un Proveedor Cualificado de Servicios de Confianza, Qualified Trust Service Provider (QTSP).

Para ser considerado un QTSP (The role of a QTSP), debe haber recibido la condición de calificado por parte de un órgano gubernamental supervisor que dé permiso a esa entidad para prestar estos servicios. En el marco del eIDAS, la UE mantiene una lista con los proveedores y servicios que han recibido la condición de cualificados (EU Trusted List). Si una entidad no figura en esa lista, no se le permite prestar servicios fiduciarios cualificados.