Categorías
Curiosidades Tecnología

¿Quién certifica a las certificadoras?

El tema de seguridad informática es uno de los que más apoyo económico tiene, las matemáticas avanzan sobre todo en el campo de la criptografía. Pero a veces pasan estas cosas, no hay que ser ningún super hacker para sacarle los colores a las empresas que se supone velan por cómo tratan tus documentos.

Una página web delicada, ejemplo claro: un banco, debe tener un certificado de seguridad para sus conexiones (SSL) por si alguien intenta colarse, hacerse con los datos de los clientes, retirar fondos de otros etc. Resultado, a priori está protegido.

Certificado bankinter

Una página web dedicada a ofrecer esa seguridad: la página de la Autoridad Certificadora Verisign, que es una de las más importantes de este mundillo. Hombre, pues vamos a ver si se certifican ellos mismos o tienen detrás a otros más grandes aún (perdonad el aspecto, son informáticos, no diseñadores, y se nota). Resultado, no hay ningún certificado ni ninguna protección formal. ¿Qué cojones pasa? Deberían ser los primeros en predicar con el ejemplo.

Certificado verisign sin cifrar

El momento más de qué coño van, ha llegado cuando curioseo su web y me encuentro con esto:

Certificado verisign recortado normas

Para los que no comprendan mi extrañeza (y en parte temor), porque no entiedan de redes, de seguridad o de informática. Imagina que estás en una empresa de fabricación de airbags y cinturones de seguridad para vender a diferentes marcas de coche porque es obligatorio que sea así y te enorgullece ver cómo tus productos superan las pruebas pertinentes (EURO NCAP, por ejemplo), ahora imagina que los vehículos que se utilizan dentro de las plantas de tu empresa no ves que lleven ni cinturón ni airbag pero está lleno de carteles recordando lo necesarios que son. ¿Qué haces? Flipar.

Afortunadamente cuando intentas adquirir un certificado te encauzan por una conexión segura. A destiempo, pero bien. Qué susto. Y eso sí, certificados por ellos mismos, que para eso son VeriSign:

Certificado compra SSL verisign

Visto en: VeriSign casi FAIL.

14 respuestas a «Â¿Quién certifica a las certificadoras?»

Resulta irónico pero es del todo lógico, usar SSL en una zona pública de la web en la que sólo hay información no tiene ningún sentido. Cifrar implica costes de procesamiento y de transferencia, así que sólo hay que usarlo en los lugares en que realmente se necesitas, como bien has dicho, en el momento en que pasas a la zona de compras.

Respecto a la jerarquía de los emisores de certificados en el que uno se certifica a si mismo es cachondo porque funciona exactamente igual que las organizaciones de países, la ONU reconoce tal o cual país y, a la vez, se reconoce a si misma.

Como dice Hugo generar el tráfico SSL de una web cuesta dinero, imagínate que no sólo puede haber texto, también imágenes, vídeos, etc … Y si tienes un tráfico de visitas alto, pues cuesta bastante dinero. Como ejemplo, creo que La Caixa montó un mega ordenador sólo para ocuparse del cifrado SSL de su web.

Lo de las autoridades de certificados, pues es como todo quién está en el punto más alto de la cadena es el que manda.

En respuesta a Hugo y Fran, sí, sí, es lógico. Pero por ejemplo en la web del banco desde el primer momento te deja claro que te han encauzado por una conexión segura, antes de que te pidan ningún tipo de dato privado, simplemente navegando por el sitio y ojeando información. Da una sensación de mayor seguridad.
En cambio VeriSign (que imagino que los certificados les salen gratis ya que ellos se los guisan y se los comen) se muestra, de primeras, insegura. Y eso me chocó. El tráfico que genere cada una para valorar cómo de económico le sale a cada cual ni idea.

Sobre lo de quién dice si una Autoridad Certificadora puede o no expender certificados creo que es IETF. Pero aún así me parece bastante poco elegante que en su propio certificado no se especique más que: «Nos controlamos nosotros, o te fías o nada». Eso plantea otra duda, ¿uién controla lo que hacen en IETF? Bueno, para otro post.

ElGekoNegro, no es que el certificado les salga o no gratis, el certificado se paga y pista (hasta que caduca). Y además son baratísimos.

Lo que genera costes aquí es el procesamiento y la transferencia, y ojo, eso es en los dos extremos (en el servidor y en el cliente). Así que cada página a la que entras y te manda por HTTPS de forma innecesaria se está zampando ciclos de tu procesador y ancho que podrías estar dedicando al P2P. Resumiendo, les tenemos que dar las gracias por usarlo con mesura.

Lo de que los bancos te metan HTTPS desde el primer momento es una medida que tuvieron que tomar para calmar el acojone de la gente por los temas de phising, pero que sólo demuestra la ignorancia de la peña en tecnología ya que en cuanto ven HTTPS ya se sienten seguros aunque al otro lado la web sea una estafa. Hace unos años poner una foto de un candado ya daba sensación de seguridad, ahora es que sea HTTPS, quién sabe que será lo próximo.

ElGekoNegro, no estoy seguro de que el IETF sea el que valida quién es una autoridad de certificación, me da que tú te montas una empresa que se dedica a ser una autoridad de certificación, cumples unos estándares y luego ya es cuestión de que entres en alguna lista de autoridades de certificación como la que proporciona cualquier navegador o sistema operativo.

Como dice Hugo lo de los bancos es por temas de phising, estafas electrónicas, etc …

Lo más peligroso de los certificados es cómo se solicitan, hace tiempo hubo un pavo que consiguió que le dieran no sé cuántos certificados de Microsoft, todo porque con dar unos datos bastante sencillos de localizar y hacer un poco de ingeniería social para que una secretaria te redirija un número de la empresa al tuyo, ya bastaba para solicitarlos.

Por ello se han inventado los certificados extendidos (o algo así, son los que salen en verde en las barras de dirección de los navegadores) que (creo) cambian el modelo de solicitud para que sea más difícil hacerte pasar por alguien que no eres.

The X.500 system has never been fully implemented, and the IETF‘s Public-Key Infrastructure (X.509), or PKIX, working group has adapted the standard to the more flexible organization of the Internet. In fact, the term X.509 certificate usually refers to the IETF‘s PKIX Certificate and CRL Profile of the X.509 v3 certificate standard, as specified in RFC 5280, commonly referred to as PKIX for Public Key Infrastructure (X.509).
[…]
X.509 also includes standards for certificate revocation list (CRL) implementations, an often neglected aspect of PKI systems. The IETF-approved way of checking a certificate’s validity is the Online Certificate Status Protocol (OCSP). Firefox 3 enables OCSP checking by default.

X.509 en la Wikipedia. También hay algo en español sobre el tema.

Me sonaba algo así.

En respuesta a ElGekoNegro, eso no dice nada de que la IETF sea la que dice si yo soy una autoridad de certificación o no, simplemente que ellos realizaron el estándar utilizado. (Si no he entendido mal en mi rápida lectura)

A lo que yo me refiero es que yo puedo montarme una autoridad de certificación, empezar a firmar/emitir certificados, sin ningún tipo de autorización o aprobación por parte del IETF. Otra cosa es que yo pase a ser una autoridad de certificación de confianza, que son las que suelen venir de serie en cualquier navegador o sistema operativo para que cuando te conectes a una web que utilice un certificado firmado por mí sepa que es de una autoridad de certificación que tiene en su lista y por tanto es de confianza.

En respuesta a Fran, ya, ya, pero vamos, que me supongo (supongo) que si son ellos los que llevan cómo deben ser los certificados también es lógico los que les den el visto bueno a las certificadoras.
Las normas cambian según los países, he mirado por encima la Fábrica Nacional de Moneda y Timbre que es la que lo mueve en España, pero ni idea de si depende de IETF o es una extensión administrativa que expende certificados «a la buena de Dios».

En respuesta a ElGekoNegro, me da que la IETF sólo se dedica a promulgar estándares, luego habrá algún tipo de empresa tipo AENOR que sea la que diga si cumple o no dicho estándar, así que me da que la IETF no le da el visto bueno a nadie.

Así la FNMT no depende de la IETF, expende certificados y como digo quién crea que es de confianza ya la añadirá a su lista de autoridades de confianza. Es más en esta página te dicen cómo descargar su certificado raíz para que la añadas a la lista.

A lo mejor (no lo sé) es que piensas que para hacer un certificado tienes que hacer la repanocha de cosas, y no es así con que te bajes openSSL ya te puedes montar tu propia autoridad de certificación y tus certificados, yo mismo lo hice en una clase de Seguridad en la carrera y en cualquier empresa lo pueden hacer para certificar a sus empleados contra su propia autoridad de certificación para entrar en una red privada suya, y la IETF no ha tenido nada que ver ni hacer.

Creo que el dueño de Canonical (el de Ubuntu, el Mark Shuttlenoséqué) se hizo rico montando una autoridad de certificación (Thawke o algo así) en su garaje.

Claro, Fran, pero no estamos hablando de las autoridades certificadoras que ponemos en local para cada departamento de una empresa. Lo que comentas de openSSL es una práctica bastante común (un ejercicio de ese tipo es el origen del post). Yo hablaba de las empresas que se dedican a certificar webs como VeriSign, que alguien las tendría que controlar y según leí y tengo por ahí apuntado eran los de la IETF, pero vamos, que no lo sé.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *