Certificados SSL… ¿gratuitos?

Seba Bortnik —  14 octubre 2009 — 11 comentarios

Esta semana estuve trabajando sobre una noticia interesante en el mundo de la seguridad. Para ello, me gustaría que todos sepan de qué hablamos cuando hablamos de HTTPS, y lo haré muy brevemente:

Un sitio que posee https (la URL empieza con https://www.) envía y recibe la información entre el servidor y el usuario de forma cifrada. Esto ofrece seguridad para ataques de intercepción de contenidos. Para usar el protocolo https, es necesario contar con un certificado digital SSL. Ese certificado digital tiene que estar firmado por una entidad certificadora (CA).

Los navegadores poseen un listado de entidades certificadoras que son aceptadas por el mismo. Si un certificado esta firmado por una entidad certificadora no válida, el usuario debe aceptar “correr el riesgo” de visitar de todas formas la página. De esta forma, uno puede levantar sitios web con cifrado sin necesidad de adquirir un certificado con una CA válida para los navegadores.

Si no entendieron la explicación anterior, paren y lean algo más sobre Hypertext Transfer Protocol Secure. Caso contrario, sigan.

Sobre el protocolo HTTPS siempre existió un estilo de mito. Con el crecimiento de los ataques de Phishing, hace tiempo que bancos, entidades financieras y sobre todo profesionales en seguridad transmiten a los usuarios la importancia de chequear la existencia del HTTPS en un sitio web para ver “si es seguro”.

La realidad es que este es un consejo válido en un contexto en que los atacantes y phishers no acostumbraban instalar certificados en sus servidores, pero no era un consejo eterno, y se creó un falso consejo o mito en los usuarios: si un sitio tiene HTTPS, es seguro.

Lamentablemente esto no es así. HTTPS, como ya se explicó, garantiza la utilización de certificados para que la información entre cliente y servidor viaje cifrada. Es decir, garantiza confidencialidad en la transmisión de los datos. Pero no garantiza que esos datos no están viajando cifrados a un atacante o phisher.

Encima, me entero la semana pasada por noticias en medio digitales, que Internet Explorer aceptará certificados digitales gratuitos. Para ser más claros: con muy poco esfuerzo (unos cuantos clics) y sin necesidad de abonar un centavo, un atacante puede sacar un certificado SSL y utilizarlo para levantar sitios maliciosos con HTTPS. Es cierto que esto es algo que podían hacer con anterioridad, pero pagando. Y este era sin duda un impedimento importante a la hora de llevar a cabo un ataque de Phishing.

En el Blog de Laboratorio de ESET Latinoamérica, escribí el post “Cazando mitos: HTTPS” donde extiendo un poco más sobre esta idea, que finalmente resumo así:

  • “Al acceder a un sitio que posea un formulario donde se ingresa información personal, debe verificarse que el mismo utilice el protocolo HTTPS”… VERDADERO
  • “Un sitio donde se ingresa información confidencial que no posee HTTPS no es seguro”…VERDADERO
  • “Utilizando el protocolo HTTPS, la información es cifrada”… VERDADERO
  • “Siempre que un sitio posea HTTPS será seguro”… FALSO

Por otro lado, unos días más tarde hicimos un video demostrando qué fácil es realizar un ataque de Phishing utilizando un sitio con el protocolo HTTPS. Este es el video educativo:

Por último, me queda una duda importante que quería compartir aquí en el blog, y que en parte quizás ustedes puedan aportar más luz al asunto.

La pregunta es: ¿por qué aceptar entidades certificadoras que otorgan certificados SSL gratuitos? La pregunta simplificada es ¿por qué los navegadores decidieron aceptar estos certificados?

Digo, porque uno que estudió el protocolo HTTPS entendía que el hecho de que los certificados se debían abonar (incluso a veces con costos realmente accesibles), era en parte una legitimidad para los sitios que lo utilizaban, entendiendo que realmente la información que se traficaba justificaba adquirir un certificado. Siguiendo esta lógica, la respuesta es: a los navegadores les interesa la usabilidad, y no la seguridad.

Sin embargo, por otro lado, se puede pensar de otra forma. Como ya se explicó, si un atacante quiere hacer un sitio falso con HTTPS, ya podía hacerlo abonando costos bajos de dinero. Entonces, el hecho de que ahora lo pueda hacer de forma gratuita no cambia un riesgo que ya existía. Además, el hecho de pensar en la usabilidad no significa no importar la seguridad, y la realidad es que si un usuario entiende qué es HTTPS, esto no representa un problema de seguridad. ¿Me explico? Por si no quedó claro, el potencial problema de seguridad que se abre con los certificados gratuitos es tal, justamente por la existencia de un mito, y de personas que erróneamente creen que con ver el protocolo es suficiente para estar tranquilo. Pero los navegadores, ¿tienen que preocuparse de la gente que tiene un concepto equivocado? Cualquier persona que entienda qué es y para qué está HTTPS, sabrá que hay otras medidas de protección para ver si un sitio es o no seguro.

En fin, tiendo a inclinarme por esta última alternativa luego de haber pasado un par de días ubicado en la primera.

Ustedes, Si llegaron hasta acá… ¿qué piensan?  😉

Anuncios

11 comentarios para Certificados SSL… ¿gratuitos?

  1. 

    Every weekend i used to go to see this web page, as i wish for enjoyment, as this this web page conations
    genuinely good funny information too.

  2. 

    @Hsilamot: pues habría menos que .com, seguro. Para autentificarlas, pues habrá métodos, así como los hay para otorgar los .gob, .gov y .edu

    Por tanto, no sería tan fácil hacerse de un .bnk

    Vamos, que métodos para hacerlo con seguridad y fiabilidad, de haberlos, haylos.

    Un saludo

    • 

      si, pero la verdad, queramoslo o no los profesionales del phiseo son eso: profesionales, ya se las ingeniarian.

      de cualquier forma ya hay alternativas “seguras” como son el .cc (que se supone es dificil de comprar) además de que en mi país (méxico) los bancos les encanta confundirnos mas a la gente, por ejemplo, Banamex (donde yo estuve) mucho tiempo fue asi:

      acceso: http://www.banamex.com
      login: http://www.banamex.com.mx/bancanet
      login nuevo: boveda.banamex.com.mx
      manejo: bovedabanamex.com/ETCETC
      manejo: banamexporinternet.com/ETCETC
      manejo actual: boveda.banamex.com.mx

      afortunadamente hasta despues de años por fin todo lo centralizaron en un solo dominio, pero muchos bancos hacen eso, se crean casi un dominio por cada directorio que tienen, de hecho, dejame decirte que el dominio actual http://www.banamex.com.mx perteneció a un phiser durante dos o tres años antes de que banamex se lo quitara.

      hablando en términos de seguridad esto no es algo que sea culpa de los bancos o el usuario, es culpa de ambos, si el usuario es cuidadoso, es difícil que exista un ataque, si el banco es cuidadoso es también difícil, sin embargo, una omisión por cualquiera de los dos nos pone en riesgo.

      mi conclusión es que esto no es una lucha de un solo lado, necesitamos atacar a los phisers desde el lado del banco hasta el lado del cliente =)

  3. 

    pero ¿cuantas instituciones bancarias hay? ¿como las autentificarias que realmente son instituciones bancarias? y finalmente ¿y si alguien se hace de un .bnk?

Trackbacks y pingbacks:

  1. Trabajando… « Mundo Binario - noviembre 9, 2009

    […] Por último, les dejo estos tres post que fue una serie que estuve escribiendo, con video de por medio incluido (que ya publiqué en el post Certificados SSL… ¿gratuitos?): […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s