5 problemas con la seguridad HTTPS y SSL en las página web



HTTPS, con SSL, proporciona verificación de identidad y seguridad, para que sepas que estás conectado al sitio web correcto y que nadie puede espiarte. Esa es la teoría, al menos. En la práctica, el SSL en la web es una especie de lío.Esto no significa que el HTTPS y el cifrado SSL no tengan ningún valor, ya que definitivamente son mucho mejores que utilizar conexiones HTTP sin cifrar. Incluso en el peor de los casos, una conexión HTTPS comprometida sólo será tan insegura como una conexión HTTP.

El gran número de autoridades de certificación

Su navegador tiene una lista integrada de autoridades de certificación de confianza. Los navegadores sólo confían en los certificados emitidos por estas autoridades de certificación. Si visita https://example.com, el servidor web de example.com le presentará un certificado SSL y su navegador comprobará que el certificado SSL del sitio web ha sido emitido para example.com por una autoridad de certificación de confianza. Si el certificado fuera emitido para otro dominio o si no fuera emitido por una autoridad certificadora de confianza, verías una seria advertencia en tu navegador.

Un problema importante es que hay muchas autoridades de certificación, por lo que los problemas con una autoridad de certificación pueden afectar a todos. Por ejemplo, usted puede obtener un certificado SSL para su dominio de VeriSign, pero alguien podría comprometer o engañar a otra autoridad de certificación y obtener un certificado para su dominio también.

Las autoridades de certificación no siempre han inspirado confianza

Los estudios han revelado que algunas autoridades de certificación no han actuado con la mínima diligencia al emitir certificados. Han emitido certificados SSL para tipos de direcciones que nunca deberían requerir un certificado, como "localhost", que siempre representa el ordenador local. En 2011, la EFF encontró más de 2000 certificados para "localhost" emitidos por autoridades de certificación legítimas y de confianza.

Si las autoridades de certificación de confianza han emitido tantos certificados sin verificar que las direcciones sean válidas en primer lugar, es natural preguntarse qué otros errores han cometido. Tal vez también hayan emitido certificados no autorizados para sitios web ajenos a los atacantes.

Los certificados de validación extendida, o certificados EV, intentan resolver este problema. Hemos cubierto los problemas de los certificados SSL y cómo los certificados EV intentan resolverlos.

Las autoridades de certificación podrían verse obligadas a emitir certificados falsos

Como hay tantas autoridades de certificación, están por todo el mundo y cualquier autoridad de certificación puede emitir un certificado para cualquier sitio web, los gobiernos podrían obligar a las autoridades de certificación a emitir un certificado SSL para un sitio que quieran suplantar.

Esto probablemente ocurrió recientemente en Francia, donde Google descubrió que la autoridad certificadora francesa ANSSI había emitido un certificado falso para google.com. La autoridad habría permitido al gobierno francés o a quienquiera que lo tuviera hacerse pasar por el sitio web de Google, realizando fácilmente ataques man-in-the-middle. ANSSI afirmó que el certificado sólo se utilizaba en una red privada para espiar a los propios usuarios de la red, no por el gobierno francés. Incluso si esto fuera cierto, sería una violación de las propias políticas de la ANSSI a la hora de emitir certificados.

El secreto perfecto no se utiliza en todas partes

Muchos sitios no utilizan el "perfect forward secrecy", una técnica que haría más difícil descifrar el cifrado. Sin el forward secrecy perfect, un atacante podría capturar una gran cantidad de datos cifrados y descifrarlos todos con una sola clave secreta. Sabemos que la NSA y otras agencias estatales de seguridad de todo el mundo están capturando estos datos. Si descubren la clave de cifrado utilizada por un sitio web años más tarde, pueden utilizarla para descifrar todos los datos cifrados que han recogido entre ese sitio web y todos los que están conectados a él.

El secreto perfecto ayuda a protegerse contra esto generando una clave única para cada sesión. En otras palabras, cada sesión se encripta con una clave secreta diferente, por lo que no se pueden desbloquear todas con una sola clave. Esto evita que alguien pueda descifrar una gran cantidad de datos cifrados de una sola vez. Dado que muy pocos sitios web utilizan esta característica de seguridad, es más probable que las agencias de seguridad del Estado puedan descifrar todos estos datos en el futuro.

Ataques del hombre en el medio y caracteres Unicode

Lamentablemente, los ataques del hombre en el medio siguen siendo posibles con SSL. En teoría, debería ser seguro conectarse a una red Wi-Fi pública y acceder al sitio de su banco. Usted sabe que la conexión es segura porque es a través de HTTPS, y la conexión HTTPS también le ayuda a verificar que realmente está conectado a su banco.

En la práctica, podría ser peligroso conectarse al sitio web de su banco en una red Wi-Fi pública. Existen soluciones estándar que pueden hacer que un punto de acceso malicioso realice ataques man-in-the-middle a las personas que se conectan a él. Por ejemplo, un punto de acceso Wi-Fi podría conectarse al banco en su nombre, enviando datos de un lado a otro y quedándose en el medio. Podría redirigirte sigilosamente a una página HTTP y conectarse al banco con HTTPS en tu nombre.

También podrías utilizar una "dirección HTTPS homógrafa". Se trata de una dirección que parece idéntica a la de tu banco en la pantalla, pero que en realidad utiliza caracteres especiales Unicode para que sea diferente. Este último y más temible tipo de ataque se conoce como ataque de homografía de nombre de dominio internacionalizado. Examine el conjunto de caracteres Unicode y encontraras caracteres que parecen básicamente idénticos a los 26 caracteres utilizados en el alfabeto latino. Puede que las "o" en el google.com al que estás conectado no sean realmente "o", sino otros caracteres.

Por supuesto, HTTPS funciona bien la mayor parte del tiempo. Es poco probable que te encuentres con un ataque man-in-the-middle tan inteligente cuando visites una cafetería y te conectes a su Wi-Fi. El punto real es que HTTPS tiene algunos problemas serios. La mayoría de la gente confía en él y no es consciente de estos problemas, pero no es ni mucho menos perfecto.

Fuente: este post proviene de Francisco Pérez Yoma, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

Blockchain es un libro de contabilidad compartido e inmutable que facilita el proceso de registrar transacciones y rastrear activos en una red empresarial. ¿Por qué es importante la Blockchain?Los neg ...

Recomendamos

Relacionado

Presencia en Internet certificado digital ssl instalar certificado ssl ...

Navegar de forma natural por la web sin restricciones de seguridad nos hace vulnerables porque pueden estar escuchando, monitorizando, grabando el intercambio de información y nosotros no ser conscientes de ello. Para resolver esta situación se crearon los certificados electrónicos tipo SSL que nos permiten cifrar las comunicaciones entre un emisor y un receptor. Los usuarios como comprobamos esto ...

Desarrollo web certificado como ...

Espero y este post sea de tu agrado, no olvides compartirlo en su redes sociales y sobre todo.. Gracias por seguirnos! Muchas veces en nuestro trabajo como desarrolladores web necesitamos contar con un certificado de seguridad SSL en localhost o ambiente de pruebas para poder testear nuestro código y subir a producción correctamente, hoy veremos como hacer esto paso a paso. Actualmente contar con ...

chrome conexion francisco perez yoma ...

Cuando un usuario ve que el link comienza con HTTPS o con un pequeño candado al lado izquierdo de la URL, automáticamente piensa que dicha web ofrece todas las seguridades correspondientes. La gran mayoría de sitios web se interesan por tenerlo. De hecho, no tienen elección, además, ¿cuál es el problema? Si cuanto más seguros sean, es mejor ¿verdad? Pues, estoy a punto de contarles un pequeño sec ...

SEO

La seguridad web es un factor fundamental en el proceso de optimización para motores de búsqueda (SEO). Asegurarse de que tu sitio web esté protegido no solo es crucial para la protección de datos, sino que también puede tener un impacto directo en tu ranking en los resultados de búsqueda. Aquí te mostramos algunos consejos de seguridad web que puedes implementar para mejorar tu SEO. ¿Cómo mantene ...

Seguridad

Puedes leer el artículo original en hushapp.io Una página web no está completa si no le agregas los niveles de seguridad necesarios. Y es que de acuerdo a una publicada por Hootsuite, el 82% de los usuarios abandona inmediatamente una página si se siente desprotegido visitando un sitio web. Por lo tanto, de nada sirve que tengas una página web bonita y fácil de usar si es blanco fácil de los hacke ...