5 Problemas con la seguridad de HTTPS y SSL en la web
La función del protocolo HTTPS, que usa SSL, es verificar nuestra identidad y seguridad en la web, es decir, conectarnos de manera segura y privada a cualquier web que use este protocolo. La conexión HTTPS y su cifrado SSL son sin duda alguna una de las maneras más seguras que tenemos para conectarnos a la web, aunque dicho protocolo consta de una serie de problemas que vamos a tratar a continuación.
Hay un gran número de entidades emisoras de certificados
Nuestro navegador tiene una lista integrada donde se encuentran las autoridades emisoras de certificados que son de confianza. Dichos navegadores solo confían en los certificados que emiten las autoridades de la lista nombrada anteriormente. Por ejemplo, si nosotros visitamos cualquier página que implemente el protocolo HTTPS, el servidor de dicha página nos dará un certificado SSL, y nuestro navegador se encargará de comprobar que dicho certificado SSL le fue otorgado a la página web por una de las autoridades de certificados de confianza. Si el certificado fue emitido por otro dominio o no fue emitido por alguna de dichas autoridades, el navegador nos mostrará una advertencia.
Uno de los grandes problemas que provoca el gran número de autoridades certificadoras es que si se produce algún fallo en alguna de ellas puede acabar afectando a todas. Por ejemplo, podemos obtener un certificado SSL para nuestro dominio de VeriSing, pero alguien podría comprometer o engañar a otra entidad emisora de certificados y obtener también un certificado para tu dominio.
La autoridades de certificación no inspiran confianza
Muchas de las autoridades han emitido certificados SSL para algunas direcciones que nunca debería tener un certificado, tales como localhost, que siempre representa a un equipo local. En el año 2011 se encontraron más de 2.000 certificados localhost emitidos por las autoridades de certificados de confianza.
Si dichas autoridades han emitido tantos certificados sin que las direcciones fuera válidas, es lógico preguntarse si se han cometido más fallos, y siendo así, seguro que todos esos fallos han sido usados por un atacante.
Algunas autoridades de certificación podrían verse obligadas a dar certificados falsos
Debido al gran número de autoridades que existen en todo el mundo y que cualquiera de ellas puede emitir un certificado, un gobierno podría obligar a una de las autoridades a emitir un certificado SSL para suplantar cualquier sitio web.
Este caso ocurrió hace poco en Francia, Google descubrió que había sido emitido un certificado rogue para google.com por la agencia de certificados francesa Anssi. Este certificado habría permitido al gobierno francés, o a cualquier otro, hacerse pasar por el sitio web de Google, realizando así un ataque man in the middle en toda regla. Anssi dijo que el certificado solo se utilizó en una red privada, y que el gobierno francés no estaba detrás de todo esto. Incluso si todo esto fuera cierto, sería una violación de las propias políticas de Anssi para la expedición de certificados.
No siempre se utiliza PFS
El PFS o Perfect Forward Secrecy es una técnica que garantiza que el descubrimiento de las claves utilizadas actualmente no compromete la seguridad de las claves usadas con anterioridad. Sin PFS, un atacante podría capturar una gran cantidad de datos y descifrarlos con una sola clave de seguridad. El PFS protege todo esto generando una clave única para cada sesión, en otras palabras, ahora no podrás descifrar todo con una sola clave. Esto evita que alguien sea capaz de descifrar una gran cantidad de datos a la vez. El problema es que hay pocas webs que utilicen PFS, por lo que en un futuro se podría descifrar todo con una sola clave.
Ataques Man in the Middle
Por desgracia, los ataques Man in the Middle son todavía posibles con SSL. En teoría, debería ser seguro conectarnos a una red Wi-Fi pública y acceder a nuestro banco. Sabemos que la conexión es segura por el protocolo HTTPS y que además éste se encarga de verificar que en realidad nos estamos conectando al sitio web de nuestro banco. Pero en la práctica, conectarse a la página web de nuestro banco a través de un Wi-Fi público es una auténtica locura.
La verdad es que el protocolo HTTPS nos proporciona cierta seguridad en internet, pero con podéis ver nada es del todo seguro. Hoy en día, por mucha seguridad que intentemos tener en internet jamás seremos del todo infalibles, ya que en cualquier momento podemos sufrir algún tipo de ataque. Lo más recomendable en estos casos es conectarte a redes de confianza, para así evitar un gran número de problemas.