DONDE Y COMO COMPRAR UN CERTIFICADO DIGITAL???

[ELITE]

Señores, buen día.

Busque en el foro y no encontré un tema sobre Certificados Digitales, así que me gustaría que los que ya han tenido este dilema comentaran su experiencia

Donde comprar un Certificado Digital?
Como instalarlo en mis servidores?
Que tan bueno es comprar en https://www.digicert.com?

[g00mba]

podes conseguir certificados gratuitos en
https://letsencrypt.org/

para instalarlos en los servidores , depende del tipo de servidor y que tipo de formato de certificado usan. servidores java por ejemplo usan un archivo keystore para guardar sus certificados.

en linux es trivial convertir entre tipos de formatos de certificados, usas PGP para hacer los cambios.

[snick]

como dice goomba letsencrypt es una opción gratuita y bastante fácil de implementar, puedes buscar en internet la documentación de como implementarlo en tu server, pero sera necesario que pongas un crontab, ya que el certificado a diferencia de los pagados, debes renovarlo cada 3 meses.

con los pagados, hasta ahora solo he probado los de godaddy, realmente baratos y muy buenos

 

[g00mba]

como dice goomba letsencrypt es una opción gratuita y bastante fácil de implementar, puedes buscar en internet la documentación de como implementarlo en tu server, pero sera necesario que pongas un crontab, ya que el certificado a diferencia de los pagados, debes renovarlo cada 3 meses.

con los pagados, hasta ahora solo he probado los de godaddy, realmente baratos y muy buenos

 

buen tip lo de cron jobs con los certs esos.

[ELITE]

Bien bien, sabia que acá andan duchos en ese tema, les cuento un poco mas.

Tengo un dominio por ahí que funciona, a manera "interna" digamoslo así, porque solo es conocido por ciertas personas. La cosa es que una dependencia Española quiere que en ese lugar montemos un pequeño desarrollo de ellos, y quieren que en España, cuando entren, no les de el molesto mensaje de este sitio no es seguro, allá todo esta mas modernizado, quieren ver el https en color verde y todo eso, el dinero no es problema 

Claro veo que DigiCert da planes anuales ($198 por año  ) pero veré que me dicen, ya saben que la gente de esta medida prefiere pagar por algo que es igual de confiable que uno gratis. Aunque comenzare a investigar sobre https://letsencrypt.org/ 

Goomba, Snick gracias 

[snick]

hablando de temas de servidores yo tengo una duda con un problema que tengo con un postfix/dovecot y no quiero abrir un tema por eso, por que realmente no se en que tema iría  , no se si el compañero Elite me da permiso de preguntar aquí o indicarme donde hacer la pregunta

[snick]

Bien bien, sabia que acá andan duchos en ese tema, les cuento un poco mas.

Tengo un dominio por ahí que funciona, a manera "interna" digamoslo así, porque solo es conocido por ciertas personas. La cosa es que una dependencia Española quiere que en ese lugar montemos un pequeño desarrollo de ellos, y quieren que en España, cuando entren, no les de el molesto mensaje de este sitio no es seguro, allá todo esta mas modernizado, quieren ver el https en color verde y todo eso, el dinero no es problema 

Claro veo que DigiCert da planes anuales ($198 por año  ) pero veré que me dicen, ya saben que la gente de esta medida prefiere pagar por algo que es igual de confiable que uno gratis. Aunque comenzare a investigar sobre https://letsencrypt.org/ 

Goomba, Snick gracias 

letscrypt podrá ser gratis, pero no por eso no es confiable o menos comparado a los pago, hay grandes empresas detrás de esta iniciativa solo por nombrar unas,Cisco,Google,Facebook,Internet society,etc.
   

[ELITE]

hablando de temas de servidores yo tengo una duda con un problema que tengo con un postfix/dovecot y no quiero abrir un tema por eso, por que realmente no se en que tema iría  , no se si el compañero Elite me da permiso de preguntar aquí o indicarme donde hacer la pregunta

Dele, faltaba mas

letscrypt podrá ser gratis, pero no por eso no es confiable o menos comparado a los pago, hay grandes empresas detrás de esta iniciativa solo por nombrar unas,Cisco,Google,Facebook,Internet society,etc.
   

Ya vi su lista de sponsors y me da bastante confianza

[snick]

Dele, faltaba mas

ok, con su permiso entonces.

En donde trabajo hemos tenido un problema muy recurrente con un grupo de spamers(robando cuentas, haciendo ataques dos,etc), pues recientemente ante el fuerte bloqueo que hemos hecho, han ideado la manera de usar una cuenta que no pertenece a nuestro domino, que no esta registrada en la base de postfix y con un dominio desconocido(que tampoco esta registrada), para enviar correos a través de nuestro server, sin pasar por login, el dkim manda la mayoría a la cola, pero siguen habiendo algunos que salen y que están afectando la reputación de la IP, no se si es un Open realy o otra cosa.

trate de bloquear con esta configuración :

smtpd_relay_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination

pero no funciono

[g00mba]

ok, con su permiso entonces.

En donde trabajo hemos tenido un problema muy recurrente con un grupo de spamers(robando cuentas, haciendo ataques dos,etc), pues recientemente ante el fuerte bloqueo que hemos hecho, han ideado la manera de usar una cuenta que no pertenece a nuestro domino, que no esta registrada en la base de postfix y con un dominio desconocido(que tampoco esta registrada), para enviar correos a través de nuestro server, sin pasar por login, el dkim manda la mayoría a la cola, pero siguen habiendo algunos que salen y que están afectando la reputación de la IP, no se si es un Open realy o otra cosa.

trate de bloquear con esta configuración :pero no funciono

eso mas suena a que tienen control mas profundo sobre el servidor no solo sobre postfix. es de sentarse a revisar logs, puede ser tambien algo mas simple, como cosa de revisar filtros. es un tema un poco delicado.

[snick]

eso mas suena a que tienen control mas profundo sobre el servidor no solo sobre postfix. es de sentarse a revisar logs, puede ser tambien algo mas simple, como cosa de revisar filtros. es un tema un poco delicado.

eso pensé al principio yo, pero el roba de cuentas fue gracias a que los usuarios usaban contraseñas como "12345" y no es broma, los ataques dos fueron mas bien ataques de fuerza bruta, tratando de conseguir nuevas contraseñas y aun que arreglamos lo de la debilidad de la contraseña y con file2ban baneamos la mayoría de las ips desde donde hacia los ataques de fuerza bruta, después de una semanas de atacar el servidor con intentos de logueo por diccionario, se calmaron, pero luego apareció una cuenta info3@samrexindia.com con mas de 1500 correo en cola(recalco que ese no es dominio de nuestro server), el log de sus envios es este :

Nov 20 06:31:42 mydomain postfix/qmgr[5177]: 8C5C921014: from=<info3@samrexindia.com>, size=327666, nrcpt=1 (queue active)
Nov 20 06:31:42 mydomain opendkim[1017]: BA73821F61: no signing table match for 'info3@samrexindia.com'
Nov 20 06:31:42 mydomain postfix/qmgr[5177]: BA73821F61: from=<info3@samrexindia.com>, size=327674, nrcpt=1 (queue active)

y solo se me ocurre que ellos conocen un fallo de seguridad que yo no conozco

[g00mba]

eso pensé al principio yo, pero el roba de cuentas fue gracias a que los usuarios usaban contraseñas como "12345" y no es broma, los ataques dos fueron mas bien ataques de fuerza bruta, tratando de conseguir nuevas contraseñas y aun que arreglamos lo de la debilidad de la contraseña y con file2ban baneamos la mayoría de las ips desde donde hacia los ataques de fuerza bruta, después de una semanas de atacar el servidor con intentos de logueo por diccionario, se calmaron, pero luego apareció una cuenta info3@samrexindia.com con mas de 1500 correo en cola(recalco que ese no es dominio de nuestro server), el log de sus envios es este :y solo se me ocurre que ellos conocen un fallo de seguridad que yo no conozco

probablemente necesitas de un server hardening mas formal. si usas linux podes empezar por usar bastille.
http://bastille-linux.sourceforge.net/
pero tene cuidado, esa onda le puede hechar llave a tus servicios si no sos cuidadoso.

[brother]

Los que te venden el dominio no tienen certificados SSL ? asi ya no va mostrar el mensaje de sitio no seguro

[ELITE]

Los que te venden el dominio no tienen certificados SSL ? asi ya no va mostrar el mensaje de sitio no seguro

SVnet no se mete con DC's ya que solo compramos el dominio con ellos, la IP y el server los tengo yo.

Pero ellos, me dieron el contacto de alguien llamado Walter Paz que en teoría se dedica a vender DC's, yo ya estoy leyendo la documentación de Lets Encrypt, me parece muy interesante, y pues por cualquier cosa le llamare al sujeto ese 

Sea cual sea la vía que tome pondré los avances y o dudas por acá

[snick]

probablemente necesitas de un server hardening mas formal. si usas linux podes empezar por usar bastille.
http://bastille-linux.sourceforge.net/
pero tene cuidado, esa onda le puede hechar llave a tus servicios si no sos cuidadoso.

suena interesante, le echare un leída, pero por el momento logre parar el relay que estaban haciendo con esta configuración:

smtpd_relay_restrictions = check_sender_access hash:/etc/postfix/permit_domain,permit_sasl_authenticated, reject_unauth_destination

investigando el dominio, resulta que es un dominio bajo gmail, es decir gmail simula el dominio  "mail.samrexindia.com" en sus servidores gmail, al parecer es otra cuenta robada(quiero creer  ), pero con la lista de check_sender_access solo los dominios dentro de esa lista pueden hacer relay, las demás configuraciones como permit_sasl_authenticated, reject_unauth_destination; obviamente no funcionaban por que gmail cumple todos esos requerimientos, aun no doy por ganada la partida  , sigo pendiente haber que mas hacen, pero por el momento ya llevo mas de 12 horas sin que hagan nada, lo peor de todo que gmail nos tiene bloqueado por el spam que ellos generaron, pero no detienen el spam de esa cuenta