Cita:
Empezado por Ñuño Martínez
Como digo, sigue siendo válido, pero el navegador dirá que no ya que la FMT no está en sus bases de datos (otra cosa es preguntarse el por qué...).
|
Es debido a que todo esta esta construido por una relacion de confianza, y los navegadores tienen un limitado numero de "Certificados raices". Por ejemplo, mozilla:
https://wiki.mozilla.org/CA:IncludedCAs
Esto es debido a que si un miembro de estos certificados se veulve maligno, puede crear ataces de "hombre en el medio"
https://www.us-cert.gov/ncas/alerts/TA15-120A
Cita:
Generally, encryption and digital certificates provide an effective safeguard against MITM attacks, assuring both the confidentiality and integrity of communications. As a result, modern MITM attacks have focused on taking advantage of weaknesses in the cryptographic infrastructure (e.g., certificate authorities (CAs), web browser certificate stores) or the encryption algorithms and protocols themselves.
|
Ahora, es cierto que ciertas entidades tienen un alto interes de estar como certificados raiz.
Y si miran la lista de Mozilla, pueden deducir quienes estan involucrados en restringir o monitoriar estas conexiones. Es por eso que es mejor usar certificados que no hagan parte de ciertas organizaciones (osea, sean independientes)
Creo recordar que LessEncrypt tiene ese proposito.