27Jul
HTTPS, que usa SSL, proporciona verificación de identidad y seguridad, para que sepa que está conectado al sitio web correcto y nadie puede espiarlo. Esa es la teoría, de todos modos. En la práctica, SSL en la web es un desastre.
Esto no significa que el cifrado HTTPS y SSL no valen nada, ya que definitivamente es mucho mejor que usar conexiones HTTP no encriptadas. Incluso en el peor de los casos, una conexión HTTPS comprometida solo será tan insegura como una conexión HTTP.
El número total de autoridades de certificación
Su navegador tiene una lista incorporada de autoridades de certificación confiables. Los navegadores solo confían en los certificados emitidos por estas autoridades de certificación. Si visitó https://example.com, el servidor web en example.com le presentará un certificado SSL y su navegador verificará para asegurarse de que el certificado SSL del sitio web fue emitido para example.com por una autoridad certificadora confiable. Si el certificado se emitió para otro dominio o si no fue emitido por una autoridad de certificación de confianza, verá una advertencia grave en su navegador.
Un problema importante es que hay tantas autoridades de certificación, por lo que los problemas con una autoridad de certificación pueden afectar a todos. Por ejemplo, puede obtener un certificado SSL para su dominio de VeriSign, pero alguien podría comprometer o engañar a otra autoridad de certificación y también obtener un certificado para su dominio. Las Autoridades de Certificación de
no siempre han inspirado confianza
Los estudios han encontrado que algunas autoridades de certificación no han realizado una debida diligencia mínima al emitir certificados. Han emitido certificados SSL para tipos de direcciones que nunca deberían requerir un certificado, como "localhost", que siempre representa a la computadora local. En 2011, el EFF encontró más de 2000 certificados para "localhost" emitidos por autoridades certificadoras legítimas y confiables.
Si las autoridades de certificación confiables han emitido tantos certificados sin verificar que las direcciones son incluso válidas en primer lugar, es natural preguntarse qué otros errores han cometido. Quizás también hayan emitido certificados no autorizados para los sitios web de otras personas a los atacantes. Los certificados de validación extendida
, o certificados EV, intentan resolver este problema. Cubrimos los problemas con los certificados SSL y cómo los certificados EV intentan resolverlos. Las autoridades certificadoras de
podrían ser obligadas a emitir certificados falsos
Debido a que hay tantas autoridades certificadoras, están en todo el mundo, y cualquier autoridad certificadora puede emitir un certificado para cualquier sitio web, los gobiernos podrían obligar a las autoridades certificadoras a emitir un certificado SSLpara un sitio que quieren suplantar.
Esto probablemente ocurrió recientemente en Francia, donde Google descubrió que un certificado fraudulento para google.com había sido emitido por la autoridad certificadora francesa ANSSI.La autoridad habría permitido que el gobierno francés o cualquier otra persona lo hiciera suplantar el sitio web de Google, realizando fácilmente ataques de hombre en el medio. ANSSI afirmó que el certificado solo se usó en una red privada para husmear en los usuarios de la red, no por el gobierno francés. Incluso si esto fuera cierto, sería una violación de las políticas de ANSSI al emitir certificados.
El secreto perfecto para el futuro no se usa en todas partes
Muchos sitios no usan el "secret forward" perfecto, una técnica que haría que el cifrado sea más difícil de descifrar. Sin un secretismo perfecto, un atacante podría capturar una gran cantidad de datos cifrados y descifrarlo todo con una sola clave secreta. Sabemos que la NSA y otras agencias de seguridad del estado de todo el mundo están capturando estos datos. Si descubren la clave de cifrado utilizada por un sitio web años después, pueden usarla para descifrar todos los datos cifrados que hayan recopilado entre ese sitio web y todos los que estén conectados a él.
El secreto hacia delante perfecto ayuda a proteger contra esto generando una clave única para cada sesión. En otras palabras, cada sesión está encriptada con una clave secreta diferente, por lo que no todas pueden desbloquearse con una sola tecla. Esto evita que alguien descifre una gran cantidad de datos cifrados a la vez. Debido a que muy pocos sitios web usan esta característica de seguridad, es más probable que las agencias de seguridad del estado descifren toda esta información en el futuro. Hombre
en los ataques medios y caracteres Unicode
Lamentablemente, los ataques de hombre en el medio aún son posibles con SSL.En teoría, debería ser seguro conectarse a una red Wi-Fi pública y acceder al sitio de su banco. Usted sabe que la conexión es segura porque está sobre HTTPS, y la conexión HTTPS también lo ayuda a verificar que está realmente conectado a su banco.
En la práctica, podría ser peligroso conectarse al sitio web de su banco en una red Wi-Fi pública. Existen soluciones listas para usar que pueden tener un punto de acceso malicioso y realizar ataques de intermediario en las personas que se conectan a él. Por ejemplo, un punto de conexión Wi-Fi podría conectarse al banco en su nombre, enviando datos de un lado a otro y sentándose en el medio. Podría redireccionarlo furtivamente a una página HTTP y conectarse al banco con HTTPS en su nombre.
También podría usar una "dirección HTTPS homográfica similar". Esta es una dirección que se ve idéntica a la de su banco en la pantalla, pero que en realidad usa caracteres especiales Unicode por lo que es diferente. Este último y más aterrador tipo de ataque se conoce como ataque homográfico de nombre de dominio internacionalizado. Examine el conjunto de caracteres Unicode y encontrará caracteres que parecen básicamente idénticos a los 26 caracteres utilizados en el alfabeto latino. Tal vez las "o" en google.com a las que está conectado no son realmente "o", sino que son otros personajes.
Cubrimos esto con más detalle cuando miramos los peligros de utilizar un punto de acceso público de wifi .
Por supuesto, HTTPS funciona bien la mayor parte del tiempo. Es poco probable que te encuentres con un ataque de hombre en el medio tan inteligente cuando visites una cafetería y te conectes a su wifi. El verdadero punto es que HTTPS tiene algunos problemas serios. La mayoría de la gente confía en él y no está al tanto de estos problemas, pero no es perfecto.
Crédito de la imagen: Sarah Joy