Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

10 jul. 2017

¿Cómo sé si mi sitio web necesita un certificado digital TLS/SSL?

¿Qué es un certificado digital TLS/SSL y qué ofrece?

Cuando un usuario a través de un navegador establece una conexión con un sitio web, comienzan a intercambiar información en texto plano o bien cifrada. Esta situación es análoga a dos personas que se comunican verbalmente en español (comunicación en texto plano) o en chino (comunicación cifrada) en un entorno en donde todos entienden únicamente español.

Un certificado digital SSL es un archivo generado por una entidad denominada Autoridad Certificante (CA), que implementa y tiene como funciones autenticar al poseedor de un certificado digital. A continuación se explica con mayor nivel de detalle y a través de ejemplos esta definición.

Cualquier individuo que intercepte la comunicación entre el navegador (usuario) y un sitio web no cifrado, va a poder leer y entender la información que se está transmitiendo en ambas vías. En caso de que el sitio web tenga certificado digital TLS/SSL, el mensaje va a viajar cifrado y el individuo que lo intercepte no va a poder interpretarlo, lo cual ofrece confidencialidad. Lo mismo ocurre con las dos personas que se comunican: si hablan en español y quien escucha escondido entiende español, va a poder interpretar la conversación. Pero si las dos personas hablan en chino, un tercero que escuche la conversación y que sólo entienda español, no va a interpretar nada.

El certificado digital también garantiza la integridad de la información que se envía, lo que significa que cuando se transmite un mensaje, quien lo recibe puede estar tranquilo de que es el mismo que el emisor generó. Un ejemplo claro de falta de integridad es cuando una persona depende de uno o más intermediarios para enviar un mensaje y en la cadena se altera el contenido del mismo antes de llegar al receptor.

Por otro lado, los certificados digitales proveen autenticación y no repudio. Esto es cierto siempre que exista una autoridad certificante (o entidad de servicios de certificación) que valide que un sitio web, o compañía detrás del mismo, es quien dice ser. Supongamos que un usuario ingresa a un sitio web que posee un certificado digital firmado por una CA. Cuando el navegador lea el certificado del sitio, va a consultar automáticamente a la autoridad que figura en el mismo para corroborar que el sitio está certificado por ella. Una vez que la autoridad le responde al navegador positivamente, se establece la comunicación y entonces el usuario se asegura que está tratando con el sitio web legítimo. De otra forma el navegador lo comunica y/o bloquea el acceso al sitio. Un ejemplo análogo a ésto es el de una persona que se identifica y autentica ante otra mostrando un documento emitido por un escribano público (de confianza para ambos individuos) que certifica que ese individuo es quien dice ser.

Empresas como por ejemplo Microsoft, Mercadolibre, Amazon, Google y los bancos, entre otras, se ven obligadas a contar con certificados digitales para sus sitios web emitidos por autoridades certificantes, ya que almacenan y transmiten constantemente información extremadamente sensible de terceros. De esta forma, pueden brindar confiabilidad y garantía a otras personas, protegiendo la información que viaja a través de Internet y validando su identidad. Sin embargo, esta es sólo una de las tantas medidas de seguridad que adoptan compañías como las mencionadas.

Tipos de certificados digitales

Existen dos tipos de certificados digitales: los autofirmados y aquellos firmados por una autoridad certificante (estos a su vez tienen otro subtipos que no trataremos aquí).

Un certificado autofirmado es aquél emitido por cualquiera de nosotros, sin ser una autoridad certificada, por ejemplo, por el propio dueño del sitio web. Técnicamente (y desde el punto de vista criptográfico) los autofirmados no son distintos de otros certificados pero, por defecto, los navegadores nunca reconocen los certificados autofirmados como válidos y deben ser agregados manualmente por el usuario. Es como si una persona creara su propio documento que valida su identidad y se identificara ante alguien más con ese documento; en la práctica debe haber un "escribano" que autentique dicho documento.

En contraste, un certificado firmado por una CA garantiza, la confidencialidad, integridad, autenticación y no repudio de la comunicación ya que, como se explicó antes, esta autoridad hace las veces de escribano y tanto el sitio web como el usuario confían en la misma. Por eso, los navegadores tienen una lista de CAs válidas (Verisign, Comodo, GeoTrust, Let's Encrypt, etc.) y validan de forma automática cada sitio web previamente reconocido por dichas entidades.

¿Cuál es la tendencia?

Hoy se sabe que los gigantes, como Google, Mozilla, Microsoft están alentando la incorporación de certificados digitales a los sitios web para garantizar seguridad y los buscadores incluso le otorgan mejor posicionamiento a sitios que los implementan.
Los navegadores están de acuerdo en que todas las páginas que requieren enviar información del usuario tendrían que implementar un certificado. En este momento, ya avisan con un mensaje en las páginas de inicio de sesión, por ejemplo, pero tarde o temprano comenzarán directamente a bloquear el acceso a sitios de que requieren inicio de sesión o manejen información sensible y que no implementen certificados.

¿Cómo sé si necesito un certificado digital SSL y de qué tipo?

Ante todo un  certificado autofirmado sólo podrá ser utilizado internamente en una red local y bajo ciertas condiciones que el administrador de la red deberá controlar. Implementar un autofirmado en un sitio web público no tiene sentido porque el navegador informará que el mismo no es confiable, ya que no ha sido firmado por una CA reconocida.
Para decidir si un sitio web público necesita o no incorporar certificado digital y estar respaldado por una autoridad certificante, hay que hacerse la siguiente pregunta: ¿El sitio web intercambia información sensible con el usuario? En otras palabras: ¿Le solicita al usuario que se registre y luego que inicie sesión introduciendo usuario y clave para acceder a servicios? (como ser Gmail, Hotmail, Facebook, por ejemplo), ¿Le pide al usuario que ingrese información de su tarjeta de crédito? (como ser Mercadopago, Paypal, por ejemplo), ¿Maneja dinero? (como un banco, por ejemplo).

Si la respuesta es sí, evidentemente habría que optar por un certificado digital firmado por una entidad certificante. Hay autoridades que emiten certificados gratuitos como ser Let's Encrypt y otras que emiten certificados pagos, como por ejemplo Verisign, Network Solutions, Entrust, RapidSSL y Digicert. Cada cual tiene sus ventajas y desventajas. Un dato no menor a tener en cuenta es que en marzo de este año los desarrolladores de Google Chrome anunciaron un plan para restringir drásticamente los certificados emitidos por Symantec luego de descubrir que habían generado más de 30.000 certificados incorrectos, y acaba de hacer lo mismo con WoSign. Esto nos alerta que debemos estar informados sobre todas estas cuestiones.

Por el contrario si el sitio web no intercambia información sensible con el usuario, se recomienda aunque sea incorporar un certificado gratuito, ya que como se dijo los buscadores y navegadores web están promoviendo su utilización, más allá de si en lo particular resulta realmente necesario o no.

Autor: Ing. Matías D. Adés para Segu-Info
Equipo AntiRansom

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!