23 mar. 2016

Symantec ofrece certificados SSL gratuitos

Al parecer a Symantec no le cayo bien la aparición de los certificados gratuitos de Let's Encrypt, y va a comenzar a regalar certificados DV (Domain Validated) a través de un programa llamado Encryption Everywhere. Esto refleja el verdadero valor de los certificados y demuestra el tiempo que han hecho con dinero, sin justificación alguna.

Symantec ha argumentado que los usuarios reconocen y confían más en el nombre de Symantec pero incluso si esto fuera cierto (lo dudo) los usuarios están cometiendo un error: no importa quién lo emita, un certificado DV demuestra muy poco acerca de la autenticidad del sitio.

Los certificados cumplen dos funciones: proporcionan una clave pública para las comunicaciones cifradas y autenticación del sitio. El cifrado, que siempre se ha podido hacer con un certificado autofirmado, es gratis. El problema con esto es que los navegadores modernos aparecen varias advertencias para asegurar de que no se está haciendo algo estúpido. Es un enfoque extraño, teniendo en cuenta que los navegadores no tienen problemas cuando se ingresa a un sitio que no usa SSL/TLS/HTTPS.

Este enfoque presupone también que un certificado DV emitido por una CA de confianza demuestra un significativo nivel de autenticación. ¿Lo hace? Sí, pero no en un grado lo suficientemente alto como que los usuarios normales, que no examinan los certificados, puedan sentirse seguros. Esto solo demuestra que la persona que obtuvo el certificado tienen acceso a la cuenta de correo electrónico del contacto administrativo registrado del sitio.

Hay formas más fuertes de los certificados TLS: OV (Validación de la Organización) y EV (Extended Validation). En un certificado de OV, además de demostrar que el solicitante tenga control administrativo del dominio, la CA debe verificar el nombre y dirección del solicitante utilizando fuentes de información confiables. La CA también debe confirmar la autenticidad de la solicitud del certificado a través de algún medio de comunicación confiable con la organización (es decir, debe comprobar que el solicitante del certificado es un empleado/agente autorizado dentro de la organización suscriptora). Para certificados expedidos a los individuos, la CA verifica la identidad del individuo mediante una identificación con foto, emitida por el Gobierno.

En comparación con el proceso automatizado para certificados DV, claramente hay más involucrados en la solicitud des certificados OV y un ser humano debe participar en el proceso. Un certificado de EV requiere aún más investigación y mayor gasto.

En la imagen, en la parte superior hay un certificado de EV; el del centro es una DV u OV y; en la parte inferior es un sitio sin SSL/TLS.

Aquí radica el principal problema: hay poco incentivo para invertir dinero en un certificado de OV cuando la experiencia del usuario es el mismo que para un certificado libre de DV.

Sin duda, OV es más valioso para autenticación y autorización en procesos que no necesariamente tienen un componente visual como el anterior, sino de negocios. OV proporciona una autenticación más fuerte que DV.

Por supuesto, para el cifrado de las comunicaciones y navegación web, cualquiera de ellos es lo suficientemente bueno para todo el mundo.

Fuente: ZDNet

1 comentario:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!