| Noticias | 11 ABR 2011

Los certificados SSL, en entredicho

La Electronic Frontier Foundation ha mostrado que los certificados SSL, utilizados en el protocolo HTTPS para conexiones web seguras, están siendo utilizados sin verificación.
PCWORLD PROFESIONAL

La Electronic Frontier Foundation ha publicado una investigación que muestra que el sistema de certificados SSL, empleado en las conexiones HTTPS para conexiones seguras, no es tan recomendable.

Dentro de su proyecto SSL Obervatory, la EFF concluye que decenas de miles de certificados SSL se han emitido para dominios sin sentido, algo que debería ser imposible. Algo que refleja que los certificados se están facilitando sin los controles necesarios.

Estas conexiones HTTPS se utilizan para garantizar la seguridad de las conexiones en correos electrónicos, bancos, sistemas de pagos, etc. Este sistema se basa en que un servidor web remoto envía al navegador del usuario su certificado SSL público. A través de una serie de transacciones criptográficas, el navegador es capaz de utilizarlo para verificar que el servidor remoto es realmente quien dice ser y que no nos estamos conectando a una web fraudulenta.

Por lo tanto, la autenticidad del certificado SSL es de primordial importancia. Es por ello que el número de empresas en todo el mundo que emiten certificados, conocido como autoridades de certificación, está estrictamente limitado.

Es cierto que existe una variedad de certificados SSL que se puede comprar. Con los certificados SSL más certificados sslbásicos, la autoridad de certificación se asegura que la compañía es la misma que registró el dominio. Con los certificados más rigurosos, como el Certificado de Validación Extendida que utilizan las organizaciones de mayor reputación, la autoridad competente está obligada a comprobar la ubicación física de la empresa en el mundo real, entre otras investigaciones. Es por esto que la compra de un certificado SSL puede ser muy caro.

Si una entidad emisora facilita certificados por palabras simples y sencillas como "correo" o "Web", indicaría que su procedimiento de control no está a la altura debida dado que no son direcciones reales de Internet. Y esto es lo que la EFF ha descubierto. De hecho, ha localizado 37.244 ejemplos de certificados para nombres de dominio “no cualificados”, es decir, palabras o términos generales sinsentido en Internet y que, por tanto, nunca debería haber tenido los certificados.

El problema se debe, en gran, a que los administradores de red corporativa compran certificados SSL para palabras como "correo" y "Web", con el fin de crear conexiones seguras entre los ordenadores en sus redes internas (las Intranets).

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información