Página principal » cómo » 5 problemas graves con HTTPS y seguridad SSL en la Web

    5 problemas graves con HTTPS y seguridad SSL en la Web

    HTTPS, que usa SSL, proporciona verificación de identidad y seguridad, para que sepa que está conectado al sitio web correcto y que nadie pueda escucharlo. Esa es la teoría, de todos modos. En la práctica, SSL en la web es una especie de desorden.

    Esto no significa que el cifrado HTTPS y SSL no valgan nada, ya que definitivamente son mucho mejores que usar conexiones HTTP sin cifrar. Incluso en el peor de los casos, una conexión HTTPS comprometida solo será tan insegura como una conexión HTTP.

    El número total de autoridades certificadoras

    Su navegador tiene una lista integrada de autoridades de certificados de confianza. Los navegadores solo confían en los certificados emitidos por estas autoridades de certificación. Si visitó https://example.com, el servidor web en example.com le presentará un certificado SSL y su navegador comprobará que el certificado SSL del sitio web fue emitido para example.com por una autoridad de certificados confiable. Si el certificado fue emitido para otro dominio o si no fue emitido por una autoridad de certificados de confianza, vería una advertencia seria en su navegador.

    Un problema importante es que hay tantas autoridades de certificación, por lo que los problemas con una autoridad de certificación pueden afectar a todos. Por ejemplo, podría obtener un certificado SSL para su dominio de VeriSign, pero alguien podría comprometer o engañar a otra autoridad de certificación y obtener un certificado para su dominio, también.

    Las autoridades de certificación no siempre han inspirado confianza

    Los estudios han encontrado que algunas autoridades de certificación no han logrado ni siquiera una diligencia debida mínima al emitir certificados. Han emitido certificados SSL para tipos de direcciones que nunca deberían requerir un certificado, como "localhost", que siempre representa la computadora local. En 2011, la EFF encontró más de 2000 certificados para "localhost" emitidos por autoridades de certificación legítimas y de confianza..

    Si las autoridades de certificación de confianza han emitido tantos certificados sin verificar que las direcciones son válidas en primer lugar, es natural preguntarse qué otros errores han cometido. Quizás también hayan emitido certificados no autorizados para los sitios web de otras personas a los atacantes.

    Los certificados de validación extendida, o certificados EV, intentan resolver este problema. Hemos cubierto los problemas con los certificados SSL y cómo los certificados EV intentan resolverlos.

    Las autoridades de certificación podrían ser obligadas a emitir certificados falsos

    Debido a que hay tantas autoridades de certificación, están en todo el mundo, y cualquier autoridad de certificación puede emitir un certificado para cualquier sitio web, los gobiernos podrían obligar a las autoridades de certificación a emitirles un certificado SSL para un sitio que desean suplantar..

    Esto probablemente ocurrió recientemente en Francia, donde Google descubrió que un certificado falso para google.com había sido emitido por la autoridad de certificación francesa ANSSI. La autoridad habría permitido que el gobierno francés o quienquiera que lo tuviera se hiciera pasar por el sitio web de Google, realizando fácilmente ataques de hombre en el medio. ANSSI afirmó que el certificado solo se usaba en una red privada para espiar a los propios usuarios de la red, no por el gobierno francés. Incluso si esto fuera cierto, sería una violación de las propias políticas de ANSSI al emitir certificados.

    El perfecto secreto hacia adelante no se usa en todas partes

    Muchos sitios no utilizan el "secreto perfecto", una técnica que haría que el cifrado sea más difícil de descifrar. Sin un secreto perfecto hacia adelante, un atacante podría capturar una gran cantidad de datos encriptados y descifrarlos todos con una sola clave secreta. Sabemos que la NSA y otras agencias de seguridad del estado en todo el mundo están capturando estos datos. Si descubren la clave de cifrado utilizada por un sitio web años más tarde, pueden usarla para descifrar todos los datos cifrados que han recopilado entre ese sitio web y todos los que están conectados a él..

    El secreto perfecto hacia adelante ayuda a protegerse contra esto al generar una clave única para cada sesión. En otras palabras, cada sesión se cifra con una clave secreta diferente, por lo que no se pueden desbloquear con una sola clave. Esto evita que alguien descifre una gran cantidad de datos encriptados a la vez. Debido a que muy pocos sitios web utilizan esta función de seguridad, es más probable que las agencias de seguridad estatales puedan descifrar todos estos datos en el futuro.

    Hombre en los ataques medios y personajes Unicode

    Lamentablemente, los ataques del hombre en el medio todavía son posibles con SSL. En teoría, debería ser seguro conectarse a una red Wi-Fi pública y acceder al sitio de su banco. Usted sabe que la conexión es segura porque está a través de HTTPS, y la conexión HTTPS también lo ayuda a verificar que realmente está conectado a su banco.

    En la práctica, podría ser peligroso conectarse al sitio web de su banco en una red Wi-Fi pública. Existen soluciones listas para usar que pueden hacer que un punto de acceso malicioso realice ataques de intermediarios a las personas que se conectan a él. Por ejemplo, un punto de acceso Wi-Fi podría conectarse al banco en su nombre, enviar datos de ida y vuelta y sentarse en el medio. Podría redirigirlo a una página HTTP y conectarse al banco con HTTPS en su nombre..

    También podría usar una "dirección HTTPS similar a un homógrafo". Esta es una dirección que se ve idéntica a la de su banco en la pantalla, pero que en realidad usa caracteres especiales de Unicode, por lo que es diferente. Este último y más aterrador tipo de ataque se conoce como un ataque homólogo de nombre de dominio internacionalizado. Examine el conjunto de caracteres de Unicode y encontrará caracteres que parecen básicamente idénticos a los 26 caracteres utilizados en el alfabeto latino. Tal vez las "o" en google.com a las que estás conectado no sean en realidad "o", pero son otros personajes.

    Cubrimos esto con más detalle cuando observamos los peligros de usar un punto de acceso público a Wi-Fi.


    Por supuesto, HTTPS funciona bien la mayor parte del tiempo. Es poco probable que te encuentres con un ataque de hombre en el medio tan inteligente cuando visites una cafetería y te conectes a su Wi-Fi. El punto real es que HTTPS tiene algunos problemas serios. La mayoría de la gente confía en ello y no está al tanto de estos problemas, pero no es ni mucho menos perfecta..

    Crédito de la imagen: Sarah Joy