Seguridad y privacidad de los servicios de escomposlinux.org

Los linuxeros en general, y los administradores de escomposlinux.org en particular somos famosos por nuestra paranoia en temas de seguridad y privacidad (aunque ha sido muy recientemente cuando se ha demostrado que dicha paranoia estaba plenamente justificada). Por ello no sólo ofrecemos mecanismos de seguridad a nuestros usuarios, sino que les animamos (cuando no obligamos) a usarlos.

Un ejemplo de ello son todos los protocolos que emplean una capa criptográfica (como Secure Socket Layers) para garantizar la protección de los contenidos enviados y recibidos. Esto no es sólo importante por motivos de privacidad (por ejemplo a la hora de leer el correo) sino que es imprescindible en numerosos casos para la seguridad (las claves para acceder a un servicio no sean enviadas en claro y por ello fácilmente comprometidas).

Pero asegurar estas capas criptográficas adicionales hace falta toda una infraestructura que no vamos a explicar aquí, pero que en última instancia requieren que se garantice que el servidor es de fiar (no es un servidor que está suplantando al auténtico). Esta garantía se hace con una serie de certificados que permiten al cliente comprobar que se está conectando al servidor que realmente quiere, y no otro suplantador intermedio. Para que todo esto funcione, estos certificados estaban a su vez garantizados (firmados) por una entidad superior llamada Autoridad Certificadora (CA).

Antiguamente en escomposlinux.org nos firmábamos nuestros propios certificados, como si fuéramos nosotros mismos una CA más, ya que por entonces el precio de cada certificado era considerable. Pero ello exige que nuestros usuarios instalen manualmente nuestro certificado de CA en sus equipos o clientes, de otra manera los servicios aparecen marcados como "no seguros" o "no confiables".

Para evitar este incordio, hoy en día disponemos de certificados firmados por una CA reconocida (StarCom), que actualmente los oferta de forma gratuita bajo ciertas condiciones. A su vez, estamos esperando con ilusión la iniciativa Let's Encrypt lanzada por la EFF, Mozilla y otros y que promete proporcionar en un futuro cercano certificados firmados por una CA de forma fácil y gratuita.

Como medida adicional, esta página recoge los certificados actualmente válidos para cada uno de los servicios, junto con diversas huellas (MD5, SHA1 y SHA256) de cada uno de ellos para que los usuarios desconfiados (como nosotros) puedan comprobarlos por sí mismos. Para garantizar su autenticidad, han sido firmados con la clave de Iñaki Arenaza (copy&paste a un fichero y gpg --verify fichero para verificar la firma).

Huellas de los certificados seguros

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

========== Certificados seguros para HTTPS ==========

webmail.escomposlinux.org
  Validez
    Desde: Nov 22 23:20:48 2014 GMT
    Hasta: Nov 24 01:27:59 2015 GMT

  Huellas Digitales
  SHA256 Fingerprint=BB:47:50:9A:F9:22:D6:B5:60:57:7A:B6:39:25:C4:96:D7:EB:27:59:AA:A9:D6:6D:E5:52:E2:75:8B:64:2F:97
  SHA1 Fingerprint=D8:7C:F1:76:77:BA:40:CB:A3:02:57:E6:D9:39:C6:4B:ED:D1:32:3F
  MD5 Fingerprint=9A:52:FA:79:2F:AB:0B:7F:F8:5E:F5:61:63:AE:97:BC

listas.escomposlinux.org
  Validez
    Desde: Nov 23 09:18:32 2014 GMT
    Hasta: Nov 24 04:43:21 2015 GM

  Huellas Digitales
    SHA256 Fingerprint=2F:D1:E0:4C:53:22:70:27:E8:38:09:ED:A1:9D:D2:98:22:80:02:53:90:EA:08:4D:EA:B3:4A:CF:29:DE:EB:C5
    SHA1 Fingerprint=AD:FB:8B:27:DC:28:B6:D2:56:BB:41:2B:B1:E2:04:8A:75:59:75:E3
    MD5 Fingerprint=20:2A:2D:64:A3:CC:B1:D9:3C:8D:60:7C:E8:01:73:ED


========== Certificados seguros para e-mail ==========

imap.escomposlinux.org
  Validez
    Desde: Nov 23 09:21:39 2014 GMT
    Hasta: Nov 24 12:27:49 2015 GMT

  Huellas Digitales
    SHA256 Fingerprint=97:EE:09:D4:7E:07:0E:36:F1:B7:8E:FB:0C:6C:3F:23:5F:01:E9:84:A6:2F:7D:70:63:1F:20:6A:D3:F3:8C:A9
    SHA1 Fingerprint=36:41:6F:E8:17:C9:23:36:A3:74:59:4D:48:31:81:FC:DB:25:F9:55
    MD5 Fingerprint=9F:7B:08:21:C2:69:09:D9:90:7C:B9:2B:5D:4E:ED:C8

pop.escomposlinux.org
  Validez
    Desde: Nov 23 05:11:00 2014 GMT
    Hasta: Nov 24 09:18:13 2015 GMT

  Huellas Digitales
    SHA256 Fingerprint=FF:08:42:75:EB:54:D3:82:F4:43:E8:B1:D2:35:54:E5:E3:D8:E5:80:9B:9C:E2:42:D0:5C:93:97:A1:C3:68:1C
    SHA1 Fingerprint=E8:7E:5A:55:7B:D7:3D:42:25:63:E0:08:7A:0F:D2:DF:BE:06:ED:D3
    MD5 Fingerprint=F8:BD:7F:B6:8F:70:6D:61:C9:B1:17:3C:E1:57:0D:59

smtp.escomposlinux.org
  Validez
    Desde: Nov 23 23:25:52 2014 GMT
    Hasta: Nov 24 18:10:30 2015 GMT

  Huellas Digitales
    SHA256 Fingerprint=ED:5E:4B:66:96:A2:16:D6:43:A3:AB:F0:3D:B6:FF:8A:60:02:9F:2E:FF:09:76:EE:75:51:81:E8:9F:6B:A3:E3
    SHA1 Fingerprint=D7:0D:2B:5A:A0:52:2E:FE:1A:BA:31:85:C7:92:BA:8C:50:B3:50:C7
    MD5 Fingerprint=AB:3F:58:35:1B:D1:55:67:01:9B:AF:5A:90:6B:EB:A0

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=ZGPO
-----END PGP SIGNATURE-----