Conversaciones sobre certificados, seguridad y pornografía

Transcribo una conversación (ficticia sólo en parte) con un usuario de Internet normal y corriente, preocupado por la seguridad y que se ha interesado por los últimos incidentes con certificados falsos. Quiere saber qué postura adoptar. Con actitud desenfadada, pretendo concienciar sobre la enorme distancia que separa SSL/TLS del usuario común, y cómo está "socialmente roto".

-Entonces, lo que ha ocurrido es que se han robado los certificados de Google, ¿no? Como si te roban el DNI. Es lo que he leído -mi amigo pregunta realmente convencido, pues es cierto que se documenta en prensa reputada.

-No se han robado exactamente. Alguien ha violado la seguridad de una empresa (DigiNotar) de certificación y ha generado sus propios certificados falsos que pasan por válidos para los programas que lo utilizan.

-Entonces es como si engañara a todo el mundo, y se pueden hacer pasar por Google. ¿no? Vaya, no puedo fiarme de esta empresa... cada vez tiene más problemas de seguridad...

-No es un problema de seguridad de Google. De hecho no tiene nada que ver ni es su responsabilidad. Es más, se ha descubierto que no sólo ha sido de Google... hay muchos certificados creados de otro dominios importantes.

-¿De quién es la responsabilidad entonces?

-De las entidades certificadoras que no validan bien los certificados o que por cualquier motivo, dejan sus sistemas expuestos para que los atacantes puedan acceder.

-¿Y por qué eso no lo controla una empresa más importante o un gobierno? DigiNotar no parece muy potente, no hay más que ver la página...

-Excelente pregunta. Solo te diré que con los certificados digitales se mueve mucho dinero... y cuantos más intermediarios, más volumen de negocio. En cualquier caso el problema para el usuario de a pie es que pueden engañarle y llevarle a una página falsa, sí, pero previamente tendrían que redirigir tu tráfico.

Contenido completo en fuente original Hispasec

Suscríbete a nuestro Boletín