#2, ese es el problema. "Ellos mismos" han emitido el certificado de que su web es auténtica. El problema es que nadie te certifica que "ellos mismos" sean la Policía.
Como si un médico se hiciera su propio diploma de médico, vamos. Mucha confianza no da.
Que "no es seguro" lo único que quiere decir es que no está firmado por una empresa de "confianza", simplemente han emitido ellos mismos el certificado en vez de gastarse un dinero para que una empresa de "fe" de que es "seguro".
#3 Ellos no han emitido un certificado de que su web sea "auténtica"; han emitido un certificado de cifrado no firmado por una empresa de certificados. Un certificado de Verisign, por ejemplo, no te garantiza que el dueño de una web sea de confianza o quien dice ser, solo que el certificado es de un cliente de Verisign y que por lo tanto nadie que no sea el dueño podrá descifrar el contenido de las tramas enviadas y recibidas... a no ser que el servidor esté comprometido. Esto da cierta confianza al usuario porque un certificado "no seguro" podría ser emitido por alguien que quisiera hacer un ataque man-in-the-middle, pero nada más.
He cometido una errata en #4, Verisign (u otra autoridad de certificación) sí certifica primero que el dueño de un certificado sea quien dice ser, pero un certificado no firmado también es seguro si el emisor es quien dice ser, claro que no se puede comprobar fácilmente.
Lo mejor es que esta web actualmente está incumpliendo la ley; desde enero de este año debería cumplir unos criterios de accesibilidad que se pasa directamente por el forro:
LEY 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
[...]
A partir del 31 de diciembre de 2008, las páginas de Internet de las Administraciones Públicas satisfarán, como mínimo, el nivel medio de los criterios de accesibilidad al contenido generalmente reconocidos.
[...]
(BOE número 312 de 29/12/2007 http://www.boe.es/aeboe/consultas/bases_datos/doc.php?coleccion=iberlex&id=2007/22440&txtlen=1000)
#5, mejor no usar la palabra seguro, que se presta a confusión. El certificado permite una conexión cifrada, eso sí, pero como tú dices:
un certificado no firmado también es seguro si el emisor es quien dice ser
Y para confiar en que el emisor es quien dice ser, nos basamos en entidades autorizadas como Verisign, igual que un DNI sólo te lo pueden dar la Policía (¿es esto un argumento circular?). Una conexión cifrada con alguien que es un impostor no se puede decir que sea muy segura.
Comentarios
#2, ese es el problema. "Ellos mismos" han emitido el certificado de que su web es auténtica. El problema es que nadie te certifica que "ellos mismos" sean la Policía.
Como si un médico se hiciera su propio diploma de médico, vamos. Mucha confianza no da.
Que "no es seguro" lo único que quiere decir es que no está firmado por una empresa de "confianza", simplemente han emitido ellos mismos el certificado en vez de gastarse un dinero para que una empresa de "fe" de que es "seguro".
#3 Ellos no han emitido un certificado de que su web sea "auténtica"; han emitido un certificado de cifrado no firmado por una empresa de certificados. Un certificado de Verisign, por ejemplo, no te garantiza que el dueño de una web sea de confianza o quien dice ser, solo que el certificado es de un cliente de Verisign y que por lo tanto nadie que no sea el dueño podrá descifrar el contenido de las tramas enviadas y recibidas... a no ser que el servidor esté comprometido. Esto da cierta confianza al usuario porque un certificado "no seguro" podría ser emitido por alguien que quisiera hacer un ataque man-in-the-middle, pero nada más.
He cometido una errata en #4, Verisign (u otra autoridad de certificación) sí certifica primero que el dueño de un certificado sea quien dice ser, pero un certificado no firmado también es seguro si el emisor es quien dice ser, claro que no se puede comprobar fácilmente.
Lo mejor es que esta web actualmente está incumpliendo la ley; desde enero de este año debería cumplir unos criterios de accesibilidad que se pasa directamente por el forro:
LEY 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
[...]
A partir del 31 de diciembre de 2008, las páginas de Internet de las Administraciones Públicas satisfarán, como mínimo, el nivel medio de los criterios de accesibilidad al contenido generalmente reconocidos.
[...]
(BOE número 312 de 29/12/2007 http://www.boe.es/aeboe/consultas/bases_datos/doc.php?coleccion=iberlex&id=2007/22440&txtlen=1000)
¿Alguien se anima y los denuncia?
#5, mejor no usar la palabra seguro, que se presta a confusión. El certificado permite una conexión cifrada, eso sí, pero como tú dices:
un certificado no firmado también es seguro si el emisor es quien dice ser
Y para confiar en que el emisor es quien dice ser, nos basamos en entidades autorizadas como Verisign, igual que un DNI sólo te lo pueden dar la Policía (¿es esto un argumento circular?). Una conexión cifrada con alguien que es un impostor no se puede decir que sea muy segura.