Certificados, ¿qué es el protocolo ACME?

Mec, mec. El Coyote persiguiendo al Correcaminos montado en un cohete marca ACME
El verdadero ACME

La primera vez que oyes lo de ACME, te imaginas al Coyote persiguiendo al Correcaminos y la voz en voz diciendo algo como «Cohete interestelar marca ACME» pero la verdad es mucho más prosaica

ACME
Automatic Certificate Management Environment
IETF RFC 8555

Para cualquier SSL, hay que seguir un proceso algo laborioso:

  1. Se solicita el certificado que queremos con los datos necesarios (ver Tipos de certificados de seguridad):
    • Solo el nombre de dominio (DV)
    • Datos de la organización (OV) y contactos en la empresa
    • Datos detallados de la organización y contactos en la empresa (EV)
  2. Se valida ese certificado
    • Para los DV, la validación es sencilla y se trata de asegurar de que tenemos acceso a la gestión del dominio.
      Hay 3 tipos de validaciones: DNS, FILE o EMAIL. Para la validación DNS tendrás que añadir una cadena concreta en un registro DNS. En el caso de FILE, es similar: hay que subir un archivo en una ruta concreta del dominio.
      Por EMAIL, se enviará un correo con un enlace a una dirección de email fija (admin@example.com…)
    • Para los OV y EV, la Autoridad Certificadora (CA), validará en BB.DD. externas la información o llamará al contacto indicando solicitando información adicional. Esta validación puede llevar varios días.
  3. Se genera el Certificate Signing Request (CSR) para la CA
  4. La CA emite el certificado y ya se puede descargar e instalar

Estos pasos se han hecho muchas veces de forma manual, intercambiando correos con la CA para poder avanzar en el proceso. Aquí es donde entra ACME que simplifica y automatiza todo esto y que, aunque vino de la mano de Let’s Encrypt, es un estándar IETF y ha sido adoptado por otras CA.

Cómo funciona ACME

El proceso de solicitud e instalación con o sin ACME es el mismo: solicitud, validación, descarga e instalación. ACME lo que hace es automatizar todo el proceso.

Proceso de solicitud de un SSL para un cliente registrado
  1. El primer paso es registrarse en el servidor de certificados como cliente ACME. Esto nos permite realizar solicitudes autorizadas de SSL.
  2. Generas la petición para emitir un certificado
  3. Debes probar que gestionas el dominio para el que solicitas el certificado (caso de DV)
  4. Finalizas la petición enviando el CSR
  5. La CA emite el certificado y ya lo puedes descargar e instalar

El proceso como vemos es el mismo. La diferencia está en que con ACME, todo esto se hace de forma automática. Se instala un agente en el servidor web (certbot o cualquier otro compatible) que es el encargado de la comunicación con la CA y de resolver las peticiones de validación del dominio. Las comunicaciones entre este agente/cliente y el servidor se realizan a través de mensajes JSON y por protocolo seguro (HTTPS) y no es necesaria la intervención del usuario de forma directa.

Referencias

DNS: Qué son los Glue Records

Cuando registras un dominio, tienes que proporcionar al registro (registry) que gestiona la extensión una serie de datos:

  • Datos del titular del dominio
  • Datos del contacto administrativo
  • Datos del contacto técnico
  • Servidores DNS

A la hora de indicar los servidores DNS que van a resolver el dominio en el hosting, puede que quieras utilizar un subdominio de ese dominio… y en ese caso tendríamos un problema

…me llaman el hombre bucle

Si yo quiero registrar el dominio chupicalabaza.info y los servidores DNS que quiero utilizar son:

  • ns1.chupicalabaza.info
  • ns2.chupicalabaza.info

Lo normal es que me dé error, puesto que el dominio principal, chupicalabaza.info, no está todavía registrado y para resolver un subdominio tengo que resolver antes el dominio principal.

DNS arbol.svg
Árbol DNS para resolver es.wikipedia.org
CC BY-SA 2.5, Wikimedia Commons

Para resolver este caso, es para lo que están los glue records. Estos registros permiten indicar al registry, la IP asociada a esos servidores DNS que están bajo un dominio pendiente de registrar. Así de (más o menos) sencillo.

Obviamente esto no nos exime de crear las entradas necesarias para la configuración del registro; es un paso necesario para poder asignar los hosts en estas situaciones particulares.

Referencias

  • DonDominio lo explica muy bien en su ayuda… hasta he puesto vocecitas en el diálogo ;)
  • En la Wikipedia [EN] tenéis también una breve explicación

«The Book Cover Archive», portadas de libros para inspirarte

Una amiga elige un libro por:

  • La portada
  • La primera página
  • La última página

Yo no leo la última página y me suelo fiar mucho (quizá demasiado) del resumen que hace la editorial del mismo. Hay auténticos genios escribiendo estos textos y debería dejar de prestarles atención: algunos son mucho mejores que el libro en sí.

Y a la portada le haces caso, quieras o no… menos a las de ciencia ficción y románticas que alguien ha decidido ofendernos con ellas.

Book Cover Archive es un repositorio de portadas de libros, tanto antiguos como modernos. Es realmente adictivo.

Como lectura relacionada, en Babelia, publicaron el 2020.05.20 un breve análisis de las portadas de 8 libros que salieron en la primavera de 2020: «Juzgar un libro por su portada: las mejores cubiertas de la primavera«.

Muerte de un fondista

Los espectadores aplaudían a rabiar y el sonido de las palmadas reverberaba por todo el estadio mientras el corredor seguía dando vueltas a la pista moviendo los brazos. Las pantallas mostraban la llegada del maratoniano al estadio: la saliva seca en la comisura de los labios, el cuerpo enjuto bañado en sudor, los ojos fuera de las órbitas y el continuo movimiento de brazos y piernas buscando la meta. Los aplausos iban disminuyendo, incómodos, pero el corredor seguía y seguía dando vueltas y obligaba a los espectadores a continuar con las loas. “¡Qué esfuerzo! ¡Es un titán!”. El realizador de televisión dirigió la cámara al campeón y en las pantallas gigantes se pudo ver con claridad el miedo, el grito mudo en los labios resecos: “Paradme. Paradme. Paradme”.

Introducción algo caótica a eIDAS

Qué es eIDAS y qué aporta

eIDAS es un Reglamento de la UE que establece un conjunto de normas para la identificación electrónica y los servicios de confianza para transacciones electrónicas en el mercado único europeo.
Establece de esta forma un marco común a todos los países de la UE para la interacción electrónica segura entre los ciudadanos, las empresas y las autoridades públicas.

El eIDAS regula:

  • Los requisitos a cumplir para una firma electrónica avanzada
  • Qué se considera firma electrónica cualificada
  • Qué es un certificado cualificada
  • Los servicios de confianza para crear, validar y verificar firmas electrónicas, sellos de tiempo (timestamp), sellos y certificados y define también quienes son los prestadores de servicios de confianza

Tipos de Firma Electrónica

eIDAS define dos tipos de Firmas Electrónicas:

  • Firmas Electrónicas Avanzadas, Advanced Electronic Signatures (AdES)
  • Firmas Electrónicas Cualificadas, Qualified Electronic Signatures (QES)

De esta forma, se proporciona coherencia en todos los estados miembros de la UE en la forma en que se lleva a cabo la firma de documentos.

Tanto la AdES como la QES prueban la identidad del firmante y son el equivalente a una firma analógica. La principal diferencia es la aceptación por parte de otros estados miembros de la UE (es decir, estados distintos de donde se originó el proveedor de confianza). AdES puede ser aceptado por otros estados miembros, pero QES debe ser aceptado. También es importante señalar que no se negará a una AdES el efecto jurídico y la admisibilidad como prueba en los procedimientos judiciales por el mero hecho de que esté en forma electrónica o que no cumpla los requisitos para las firmas electrónicas cualificadas.

Por último, eIDAS también introduce el reconocimiento de los sellos electrónicos que son como las firmas pero que sólo pertenecen a personas jurídicas y entidades corporativas. Esto permite a las organizaciones firmar documentos como un departamento en lugar de tener que utilizar un firmante autorizado.

Los sellos de tiempo (timestamp) se usarán en todas las firmas electrónicas a fin de verificar la hora vinculada a la firma.

Servicios que se ofrecen y quién lo puede ofrecer

Bajo ese marco regulatorio, se ofrecen los siguientes servicios:

  • Certificado cualificado para la firma electrónica
  • Certificado cualificado para el sello electrónico
  • Certificado cualificado para la autenticación de sitios web
  • Servicio de validación cualificado para la firma electrónica cualificada
  • Servicio de preservación cualificado para la firma electrónica cualificada
  • Servicio de validación cualificado para el sello electrónico cualificado
  • Servicio de preservación cualificado para el sello electrónico cualificado
  • Sello de tiempo cualificado
  • Servicio cualificado de entrega electrónica registrada

Trusted List Browser
Busca en la página de la UE los servicios de confianza por distintos criterios de búsqueda (país, tipo o nombre de servicio…)

Y para poder ofrecer alguno de estos servicios, la empresa que los ofrezca debe ser un Proveedor Cualificado de Servicios de Confianza, Qualified Trust Service Provider (QTSP).

Para ser considerado un QTSP (The role of a QTSP), debe haber recibido la condición de calificado por parte de un órgano gubernamental supervisor que dé permiso a esa entidad para prestar estos servicios. En el marco del eIDAS, la UE mantiene una lista con los proveedores y servicios que han recibido la condición de cualificados (EU Trusted List). Si una entidad no figura en esa lista, no se le permite prestar servicios fiduciarios cualificados.

El nombre de dominio a muerto (o no, o yo qué sé)

Porque, ¿para qué quiero un nombre de dominio? Porque forma parte de mi marca, es mi marca. Pero, ¿quien me encuentra por la marca? ¿Hay gente que va directamente a la URL? Alguna quedará.

La gente va a sus entornos: Facebook, Instagram, Twitter… lo que sea y allí realiza sus búsquedas. El dominio no es importante aquí.

¿Y en Internet? Pues aquí se usa el entorno de Google, y Google decide qué mostrarte en base a lo que buscas, por eso no es necesario en nombre del dominio y por eso se está ocultando de sus navegadores (Google Chrome ya dio otro paso adelante para terminar de matar las URLs).

Parisa Tabrizz, otra de las máximas responsables del desarrollo de Chrome, destacaba cómo propongan lo que propongan, la decisión acabará siendo «controvertida». Aún así creen que el cambio es importante, «porque todo el mundo está insatisfecho con las URLs. Básicamente apestan«.

En Xataka

¿Por qué se usan nombres de dominios? Porque una IP es complicada de recordar. Si dependiera solo de máquinas, no haría falta nombres de dominios, ni URL ni nada de eso.

¿Se pueden sustituir por otra cosa? ¿Se pueden simplemente ignorar? Claro, ¿por qué no? Pero, ¿por qué lo vamos a sustituir? ¿Por los resultados que me dé un buscador? ¿Es eso más fiable? ¿Por la gente que haya en una red social/ecosistema en el que se valide la fiabilidad de la cuenta?

No sé… ¿de verdad apestan tanto los nombres de dominio? ¿No hay mejores formas de curar la rabia que matar a todos los perros?

El exilio está aquí – César Galiano Royo

Portada de "El exilio está aquí" de César Galiano
El exilio está aquí – César Galiano

No sé si es bueno verse reflejado en los personajes, sobre todo en aquellos con características no positivas (negativas, vamos), pero es lo que me ha pasado con este librillo de César Galiano.

Un libro con pequeñas balas en las que se retrata un barrio y unos personajes que normalmente no se buscan o directamente se evitan. Los presenta y nos enfrenta a ellos, a nosotros mismos, a cómo vemos a los demás. Como dicen en la reseña de Pepitas, «Es esta una historia nacida del reconocimiento entre iguales que nos asoma en toda su crudeza a la separación consumada».

Una joyita escrita con precisión de cirujano.

En tu librería En Amazon En la editorial