HTTPS, que utiliza SSL, proporciona verificación de identidad y seguridad, para que sepas que estás conectado al sitio web correcto y que nadie pueda espiarte. Esa es la teoría, de todos modos. En la práctica, SSL en la web es una especie de desastre.
Esto no significa que el cifrado HTTPS y SSL no sirva para nada, ya que definitivamente son mucho mejores que usar conexiones HTTP no cifradas. Incluso en el peor de los casos, una conexión HTTPS comprometida será tan insegura como una conexión HTTP.
La gran cantidad de autoridades certificadoras
Relacionado: ¿Qué es HTTPS y por qué debería importarme?
Su navegador tiene una lista incorporada de autoridades certificadoras confiables. Los navegadores sólo confían en los certificados emitidos por estas autoridades certificadoras. Si visitó https://example.com, el servidor web en example.com le presentará un certificado SSL y su navegador verificará que el certificado SSL del sitio web haya sido emitido por ejemplo.com por una autoridad certificadora confiable. Si el certificado fue emitido para otro dominio o si no fue emitido por una autoridad certificadora confiable, verá una advertencia grave en su navegador.
Un problema importante es que hay tantas autoridades de certificación, por lo que los problemas con una autoridad de certificación pueden afectar a todos. Por ejemplo, usted podría obtener un certificado SSL para su dominio de VeriSign, pero alguien podría comprometer o engañar a otra autoridad certificadora y obtener también un certificado para su dominio.
Las autoridades certificadoras no siempre han inspirado confianza
Relacionado: Cómo los navegadores verifican las identidades de los sitios web y protegen contra impostores
Los estudios han encontrado que algunas autoridades certificadoras no han hecho ni siquiera la mínima diligencia debida al emitir certificados. Han emitido certificados SSL para tipos de direcciones que nunca deberían requerir un certificado, como “localhost”, que siempre representa la computadora local. En 2011, la FEP encontró Más de 2000 certificados para “localhost” emitidos por autoridades certificadoras legítimas y confiables.
Si las autoridades certificadoras confiables han emitido tantos certificados sin verificar que las direcciones sean válidas en primer lugar, es natural preguntarse qué otros errores han cometido. Quizás también hayan emitido a los atacantes certificados no autorizados para los sitios web de otras personas.
Los certificados de Validación Extendida, o certificados EV, intentan resolver este problema. Hemos cubierto los problemas con los certificados SSL y cómo los certificados EV intentan resolverlos.
Las autoridades certificadoras podrían verse obligadas a emitir certificados falsos
Debido a que hay tantas autoridades certificadoras, están en todo el mundo, y cualquier autoridad certificadora puede emitir un certificado para cualquier sitio web, los gobiernos podrían obligar a las autoridades certificadoras a emitirles un certificado SSL para un sitio que quieran suplantar.
Esto probablemente ocurrió recientemente en Francia, donde Google descubrió La autoridad certificadora francesa ANSSI había emitido un certificado falso para google.com. La autoridad habría permitido al gobierno francés o a cualquier otro que la tuviera hacerse pasar por el sitio web de Google, realizando fácilmente ataques de intermediario. ANSSI afirmó que el certificado sólo se utilizó en una red privada para espiar a los propios usuarios de la red, no por el gobierno francés. Incluso si esto fuera cierto, sería una violación de las propias políticas de la ANSSI a la hora de emitir certificados.
El secreto directo perfecto no se utiliza en todas partes
Muchos sitios no utilizan el “secreto directo perfecto”, una técnica que haría que el cifrado fuera más difícil de descifrar. Sin un secreto directo perfecto, un atacante podría capturar una gran cantidad de datos cifrados y descifrarlos todos con una única clave secreta. Sabemos que la NSA y otras agencias de seguridad estatales de todo el mundo están recopilando estos datos. Si descubren la clave de cifrado utilizada por un sitio web años después, pueden usarla para descifrar todos los datos cifrados que han recopilado entre ese sitio web y todos los que están conectados a él.
El secreto directo perfecto ayuda a proteger contra esto al generar una clave única para cada sesión. Es decir, cada sesión está cifrada con una clave secreta diferente, por lo que no se pueden desbloquear todas con una única clave. Esto evita que alguien descifre una gran cantidad de datos cifrados a la vez. Debido a que muy pocos sitios web utilizan esta característica de seguridad, es más probable que las agencias de seguridad estatales puedan descifrar todos estos datos en el futuro.
El hombre en el medio ataca y caracteres Unicode
Relacionado: Por qué utilizar una red Wi-Fi pública puede ser peligroso, incluso al acceder a sitios web cifrados
Lamentablemente, los ataques de intermediario todavía son posibles con SSL. En teoría, debería ser seguro conectarse a una red Wi-Fi pública y acceder al sitio de su banco. Sabes que la conexión es segura porque es a través de HTTPS, y la conexión HTTPS también te ayuda a verificar que realmente estás conectado a tu banco.
En la práctica, podría resultar peligroso conectarse al sitio web de su banco a través de una red Wi-Fi pública. Existen soluciones disponibles en el mercado que pueden hacer que un punto de acceso malicioso realice ataques de intermediario a las personas que se conectan a él. Por ejemplo, un punto de acceso Wi-Fi podría conectarse al banco en su nombre, enviar datos de un lado a otro y permanecer en el medio. Podría redirigirlo furtivamente a una página HTTP y conectarse al banco con HTTPS en su nombre.
También podría utilizar una “dirección HTTPS similar a un homógrafo”. Esta es una dirección que parece idéntica a la de su banco en la pantalla, pero que en realidad utiliza caracteres Unicode especiales, por lo que es diferente. Este último y más aterrador tipo de ataque se conoce como ataque homógrafo de nombre de dominio internacionalizado. Examine el conjunto de caracteres Unicode y encontrará caracteres que parecen básicamente idénticos a los 26 caracteres utilizados en el alfabeto latino. Tal vez las o en google.com al que estás conectado no sean en realidad o, sino otros caracteres.
Cubrimos esto con más detalle cuando analizamos los peligros de usar un punto de acceso Wi-Fi público.
Por supuesto, HTTPS funciona bien la mayor parte del tiempo. Es poco probable que te encuentres con un ataque de intermediario tan inteligente cuando visitas una cafetería y te conectas a su Wi-Fi. El verdadero punto es que HTTPS tiene algunos problemas serios. La mayoría de la gente confía en él y no es consciente de estos problemas, pero no es ni de lejos perfecto.
Credito de imagen: sara alegría
