On the same day Tails 0.10 was put out, our website started to use a commercial SSL certificate. This new certificate replaces the previous one that was delivered by the non-commercial CACert certificate authority.

¿Qué son los certificados SSL?

Usar HTTPS en lugar de HTTP simple para conectarse a un sitio web te permite cifrar tu comunicación con el servidor. Pero el cifrado por sí solo no garantiza que estés hablando con el servidor correcto y no con alguien que se haga pasar por él, por ejemplo en el caso de un ataque de hombre-en-el-medio.

Los certificados SSL intentan solucionar este problema. Normalmente, una autoridad certificadora emite un certificado SSL para certificar la identidad de un servidor. Cuando accedes a un sitio web, tu navegador web puede confiar automáticamente en un certificado SSL si confía en la autoridad que lo emitió.

Las autoridades de certificación comerciales se ganan la vida vendiendo certificados SSL. Por lo general, la mayoría de los navegadores confían en ellos automáticamente. Otras autoridades no comerciales, como CACert, deben ser instaladas por el sistema operativo o por el usuario para evitar que se muestre una advertencia de seguridad al visitar el sitio web.

Debilidades del sistema

But this trust system has proven to be flawed in many ways. For example, during 2011, two certificate authorities were compromised, and many fake certificates were issued and used in the wild. See Comodo: The Recent RA Compromise and The Tor Project: The DigiNotar Debacle, and what you should do about it.

It is clear for us that getting an commercial SSL certificate is not enough to strongly authenticate our website, and for example authenticity of our releases. That's why we always propose you stronger ways of authenticating our Tails release using OpenPGP signatures.

Why get a commercial certificate then?

Still we decided to get a commercial certificate for the following reasons:

  • It makes it harder to setup a simplistic man-in-the-middle attacks against the people who didn't use HTTPS so far to visit our website.
  • Our website now is only available with HTTPS enabled. This may be important to provide some confidentiality while posting on the forum for example.