[opensuse-es] Gestión de certificados SSL no válidos en Firefox 3
Hola, ¿Hay alguna forma de decirle al FF3 que gestione los certificados que no son válidos de la misma forma (o similar) al konqueror? Es decir, konqueror detecta que el certificado no es válido y pregunta si lo quieres aceptar sólo para esta sesión, para siempre o cancelar la carga de la página, pero en FF3 me dice que añada "excepciones". ¿Dónde se configura el comportamiento de FF en este aspecto? ¿Desde el "about:config"? ¿Desde alguna opción en "preferencias"? :-? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Lunes, 9 de Febrero de 2009, Camaleón escribió:
Hola,
¿Hay alguna forma de decirle al FF3 que gestione los certificados que no son válidos de la misma forma (o similar) al konqueror?
Es decir, konqueror detecta que el certificado no es válido y pregunta si lo quieres aceptar sólo para esta sesión, para siempre o cancelar la carga de la página, pero en FF3 me dice que añada "excepciones".
¿Dónde se configura el comportamiento de FF en este aspecto? ¿Desde el "about:config"? ¿Desde alguna opción en "preferencias"? :-?
Saludos,
-- Camaleón
hola Estan en Editar - Preferencias - Avanzado - Cifrado. Saludos. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-02-09 a las 19:56 +0100, Antonio escribió:
El Lunes, 9 de Febrero de 2009, Camaleón escribió:
¿Hay alguna forma de decirle al FF3 que gestione los certificados que no son válidos de la misma forma (o similar) al konqueror?
Estan en Editar - Preferencias - Avanzado - Cifrado.
¿Y qué hay que poner... o cómo lo tienes puesto tú? :-? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Lunes, 9 de Febrero de 2009, Camaleón escribió:
El 2009-02-09 a las 19:56 +0100, Antonio escribió:
El Lunes, 9 de Febrero de 2009, Camaleón escribió:
¿Hay alguna forma de decirle al FF3 que gestione los certificados que no son válidos de la misma forma (o similar) al konqueror?
Estan en Editar - Preferencias - Avanzado - Cifrado.
¿Y qué hay que poner... o cómo lo tienes puesto tú? :-?
Lo tengo como viene por defecto, en preguntar siempre. Pero no se como sale la pantalla de pregunta porque no se me ha dado el caso por el que me preguntas y no tengo certificado digital personal. Si me das una direccion donde se te de el caso puedo hacer la prueba a ver como me sale. Saludos. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-02-10 a las 16:48 +0100, Antonio escribió:
Lo tengo como viene por defecto, en preguntar siempre.
Pero no se como sale la pantalla de pregunta porque no se me ha dado el caso por el que me preguntas y no tengo certificado digital personal.
Si me das una direccion donde se te de el caso puedo hacer la prueba a ver como me sale.
Esta, por ejemplo: https://kerneltrap.org/mailarchive/linux-kernel/ - En Firefox, antes de cargarla me dice que el certificado ha caducado, que la añada a la lista de excepciones. - En konqueror, me pregunta si deseo aceptar el certificado sólo para las sesiones actuales, que es el comportamiento que me interesaría obtener en Firefox Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Tuesday 10 February 2009 17:17:43 Camaleón escribió:
El 2009-02-10 a las 16:48 +0100, Antonio escribió:
Lo tengo como viene por defecto, en preguntar siempre.
Pero no se como sale la pantalla de pregunta porque no se me ha dado el caso por el que me preguntas y no tengo certificado digital personal.
Si me das una direccion donde se te de el caso puedo hacer la prueba a ver como me sale.
Esta, por ejemplo:
https://kerneltrap.org/mailarchive/linux-kernel/
- En Firefox, antes de cargarla me dice que el certificado ha caducado, que la añada a la lista de excepciones.
- En konqueror, me pregunta si deseo aceptar el certificado sólo para las sesiones actuales, que es el comportamiento que me interesaría obtener en Firefox
Saludos,
-- Camaleón
Firefox es multiplataforma y las excepciones las controla pensando en "windoseros manazas" :-D si seleccionas "O puede añadir una excepción…" sale un botón con "añadir excepción…", le das y "obtienes el certificado" tras lo que ya puedes "Confirmar excepción de seguridad". Ojo, quita la marca de "Guardar esta excepción de manera permanente" para que el certificado solo sea válido en la sesión que tienes abierta. Un saludo, José FSS -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-02-10 a las 17:48 +0100, JFSS escribió:
Firefox es multiplataforma y las excepciones las controla pensando en "windoseros manazas" :-D
No cuela. Hasta el IE7 lo gestiona mejor >:-)
si seleccionas "O puede añadir una excepción…" sale un botón con "añadir excepción…", le das y "obtienes el certificado" tras lo que ya puedes "Confirmar excepción de seguridad". Ojo, quita la marca de "Guardar esta excepción de manera permanente" para que el certificado solo sea válido en la sesión que tienes abierta.
Pero eso son muchos pasos, te para la navegación. Pues vaya con el firefoxito :-/ Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Martes, 10 de Febrero de 2009, JFSS escribió: Hola.
Ojo, quita la marca de "Guardar esta excepción de manera permanente" para que el certificado solo sea válido en la sesión que tienes abierta.
Un saludo, José FSS
Bueno, esto creo que hace lo que querias. Saludos. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-02-10 a las 18:23 +0100, Antonio escribió:
Bueno, esto creo que hace lo que querias.
No, no es eso, pero ya veo que no es posible hacerlo :-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-02-10 a las 17:17 +0100, Camaleón escribió:
Esta, por ejemplo:
https://kerneltrap.org/mailarchive/linux-kernel/
- En Firefox, antes de cargarla me dice que el certificado ha caducado, que la añada a la lista de excepciones.
No dice que esté caducado, sino que es inválido: Secure Connection Failed kerneltrap.org uses an invalid security certificate. The certificate is not trusted because the issuer certificate is unknown. The certificate is only valid for localhost The certificate expired on 01/08/2008 12:07 AM. (Error code: sec_error_unknown_issuer) * This could be a problem with the server's configuration, or it could be someone trying to impersonate the server. * If you have connected to this server successfully in the past, the error may be temporary, and you can try again later. Or you can add an exception… Es un certificaco local no avalado por ninguna autoridad, y además, caducado. Si miras en detalle, están usando el certificado de pruebas del apache, no se molestaron en crear uno. El CN es "localhost". A mi no me disgusta la manera que han tenido de hacerlo en firefox, sobre todo pensando en los windoseros: no es un sólo click. El konqueror, como no se usa en windows, vale :-P - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkmR7RMACgkQtTMYHG2NR9WAWgCdEeG12CmQfU+az7ffSPUU1owB ZFQAnje+dsyokU7L2yp65nhWWo4fbJuk =Xr4f -----END PGP SIGNATURE-----
El 2009-02-10 a las 22:09 +0100, Carlos E. R. escribió:
No dice que esté caducado, sino que es inválido:
Secure Connection Failed
kerneltrap.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown. The certificate is only valid for localhost The certificate expired on 01/08/2008 12:07 AM. ^^^^^^^^^
Oh, sí lo está. Dice que caducó en el 2008 ;-)
Es un certificaco local no avalado por ninguna autoridad, y además, caducado.
Si miras en detalle, están usando el certificado de pruebas del apache, no se molestaron en crear uno. El CN es "localhost".
A mi no me disgusta la manera que han tenido de hacerlo en firefox, sobre todo pensando en los windoseros: no es un sólo click.
El konqueror, como no se usa en windows, vale :-P
El problema es que lo gestiona muy mal porque me va a obligar a pasar de la validación de los certificados (lo voy a tener que desactivar). Ese método no es práctico porque te corta la navegación, no hay by-pass posible que sea rápido ¡ni siquiera configurando a mano el about:config! Un certificado caducado o "que-no-pasa-por-el-aro-de-una-CA" "no" es un problema de seguridad "per se". Y por cierto, no soy la única que se queja: The new SSL error pages in Firefox 3 suck. <http://eggdrop.ch/blog/2007/11/20/the-new-ssl-error-pages-in-firefox-3-s uck/> Es un post muy interesante. Mira el ejemplo que ponen: https://atiam.train.army.mil/ Que los de Mozilla se han lucido, vaya :-( Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-02-10 a las 23:57 +0100, Camaleón escribió: (me está dando guerra el ordenador, se me ha colgado dos veces. Creo que es el puñetero cable paralelo del hda. A ver si compro mañana otro, pero no se si aguantará esta noche. Y encima estoy incubando algún tipo de gripe, me crecen los enanos) (al menos he podido recuperar lo que estaba escribiendo, a ver si puedo enviarlo)
El 2009-02-10 a las 22:09 +0100, Carlos E. R. escribió:
No dice que esté caducado, sino que es inválido:
Secure Connection Failed
kerneltrap.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown. The certificate is only valid for localhost The certificate expired on 01/08/2008 12:07 AM. ^^^^^^^^^
Oh, sí lo está. Dice que caducó en el 2008 ;-)
Dice ambas cosas, caducado e inválido, y lo de que es inválido es lo peor. Pero además, está asignado a "localhost", no al nombre del servidor. Los que se han lucido son la gente de ese servidor: ya que te pones, te creas tu propia autoridad certificadora, y luego un certificado firmado por esa autoridad. O al menos te creas un certificado asociado a tu dominio, que lo tienen.
El problema es que lo gestiona muy mal porque me va a obligar a pasar de la validación de los certificados (lo voy a tener que desactivar). Ese método no es práctico porque te corta la navegación, no hay by-pass posible que sea rápido ¡ni siquiera configurando a mano el about:config!
Lo aceptas por siempre. Total [ahí se me colgó... ¿y que iba a decir yo?] Total, que mas da, lo apuntas, y luego lo borras si quieres.
Un certificado caducado o "que-no-pasa-por-el-aro-de-una-CA" "no" es un problema de seguridad "per se".
Y por cierto, no soy la única que se queja:
The new SSL error pages in Firefox 3 suck. <http://eggdrop.ch/blog/2007/11/20/the-new-ssl-error-pages-in-firefox-3-s uck/>
Es un post muy interesante. Mira el ejemplo que ponen:
Que los de Mozilla se han lucido, vaya :-(
No me atrevo a mirar por si se me cae :-} Pero vale, si, no está muy cómodo. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkmSHRsACgkQtTMYHG2NR9Wi6QCdH1VsKifzEhwbCydNgVT5jijA DakAn3YsHdPbiTqzUZuoIEbKfC4EaVFe =YKKW -----END PGP SIGNATURE-----
El 2009-02-11 a las 01:34 +0100, Carlos E. R. escribió:
Dice ambas cosas, caducado e inválido, y lo de que es inválido es lo peor.
"Inválido" es precisamente lo que pongo en el asunto de este hilo :-) Un certificado puede catalogarse de "inválido" por varios motivos.
Pero además, está asignado a "localhost", no al nombre del servidor. Los que se han lucido son la gente de ese servidor: ya que te pones, te creas tu propia autoridad certificadora, y luego un certificado firmado por esa autoridad. O al menos te creas un certificado asociado a tu dominio, que lo tienen.
Ese no es el "quid" de la cuestión. De lo que se trata es de que el usuario pueda gestionar qué hacer cuando se topa con un certificado o un error de ese tipo, que son más comunes de lo que la gente cree... https://mensajeriaweb.movistar.es/ ¡Toma ya! Me voy a pasar el día añadiendo excepciones :-/
Total, que mas da, lo apuntas, y luego lo borras si quieres.
No, no da igual. Es un mal "planteamiento" que dice muy poco de Mozilla.
No me atrevo a mirar por si se me cae :-}
Dale un vistazo cuando puedas, es interesante.
Pero vale, si, no está muy cómodo.
Es una metida de pata. Espero que lo modifiquen... algún día :-( Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-02-10 a las 23:57 +0100, Camaleón escribió:
El 2009-02-10 a las 22:09 +0100, Carlos E. R. escribió:
No dice que esté caducado, sino que es inválido: ... Oh, sí lo está. Dice que caducó en el 2008 ;-)
Es un certificaco local no avalado por ninguna autoridad, y además, caducado.
Si miras en detalle, están usando el certificado de pruebas del apache, no se molestaron en crear uno. El CN es "localhost".
A mi no me disgusta la manera que han tenido de hacerlo en firefox, sobre todo pensando en los windoseros: no es un sólo click.
El konqueror, como no se usa en windows, vale :-P
El problema es que lo gestiona muy mal porque me va a obligar a pasar de la validación de los certificados (lo voy a tener que desactivar). Ese método no es práctico porque te corta la navegación, no hay by-pass posible que sea rápido ¡ni siquiera configurando a mano el about:config!
Un certificado caducado o "que-no-pasa-por-el-aro-de-una-CA" "no" es un problema de seguridad "per se".
Y por cierto, no soy la única que se queja:
The new SSL error pages in Firefox 3 suck. <http://eggdrop.ch/blog/2007/11/20/the-new-ssl-error-pages-in-firefox-3-s uck/>
Es un post muy interesante. Mira el ejemplo que ponen:
Que los de Mozilla se han lucido, vaya :-(
Vale, es incómodo. Se puede pasar, pero el método es bastante incómodo. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkmhxHIACgkQtTMYHG2NR9U7EwCdEmcp6uz5PvWuw66N+7ClxTG9 XeEAn2ybdYdHfbyxt/8ciHPoDYAe9hKY =RMS+ -----END PGP SIGNATURE-----
participants (4)
-
Antonio
-
Camaleón
-
Carlos E. R.
-
JFSS