El mateix dia que es va publicar Tails 0.10, el nostre lloc web va començar a utilitzar un certificat SSL comercial. Aquest nou certificat substitueix l'anterior que va ser lliurat per l'autoritat de certificació CACert no comercial.

Què són els certificats SSL?

L'ús d'HTTPS en lloc d'HTTP normal per connectar-se a un lloc web us permet encriptar la vostra comunicació amb el servidor. Però l'encriptatge per si sol no garanteix que esteu parlant amb el servidor adequat i no algú que el suplanti, per exemple, en cas d'atac de «man-in-the-middle».

Els certificats SSL intenten resoldre aquest problema. Normalment, una autoritat de certificació emet un certificat SSL per certificar la identitat d'un servidor. Quan arribeu a un lloc web, el vostre navegador web pot confiar automàticament en un certificat SSL si confia en l'autoritat que l'ha emès.

Les autoritats de certificats comercials viuen de la venda de certificats SSL; solen ser de confiança automàtica per la majoria dels navegadors. Altres autoritats no comercials, com CACert, han de ser instal·lades pel sistema operatiu o per l'usuari per evitar que es mostri un avís de seguretat en visitar el lloc web.

Debilitats del sistema

Però aquest sistema de confiança ha demostrat ser defectuós de moltes maneres. Per exemple, durant el 2011, dues autoritats de certificació es van veure compromeses i es van emetre i utilitzar molts certificats falsos. Vegeu Comodo: The Recent RA Compromise (en anglès) i The Tor Project: The DigiNotar Debacle, i què hauríeu de fer al respecte (en anglès).

És clar per a nosaltres que obtenir un certificat SSL comercial no és suficient per autenticar fortament el nostre lloc web i, per exemple, l'autenticitat de les nostres versions. És per això que sempre us proposem maneres més sòlides d'autenticar la nostra versió de Tails mitjançant signatures OpenPGP.

Per què obtenir un certificat comercial llavors?

Tot i així vam decidir obtenir un certificat comercial pels motius següents:

  • Dificulta la configuració d'atacs simplistes de «man-in-the-middle» contra les persones que fins ara no utilitzaven HTTPS per visitar el nostre lloc web.
  • El nostre lloc web ara només està disponible amb HTTPS habilitat. Això pot ser important per proporcionar una certa confidencialitat mentre es publica al fòrum, per exemple.