Cómo los navegadores verifican las identidades del sitio web y protegen contra los impostores

¿Alguna vez ha notado que su navegador a veces muestra el nombre de la organización de un sitio web en un sitio web cifrado? Esta es una señal de que el sitio web tiene un certificado de validación extendido, lo que indica que se ha verificado la identidad del sitio web.

¿Alguna vez ha notado que su navegador a veces muestra el nombre de la organización de un sitio web en un sitio web cifrado? Esta es una señal de que el sitio web tiene un certificado de validación extendido, lo que indica que se ha verificado la identidad del sitio web.

Los certificados EV no proporcionan ninguna fuerza de cifrado adicional; en cambio, un certificado EV indica que se ha realizado una verificación exhaustiva de la identidad del sitio web. Los certificados SSL estándar proporcionan muy poca verificación de la identidad de un sitio web.

Cómo los navegadores muestran certificados de validación extendida

En un sitio web encriptado que no utiliza un certificado de validación extendido, Firefox dice que el sitio web es «administrado por (desconocido)».

Chrome no muestra nada diferente y dice que la identidad del sitio web fue verificada por la autoridad de certificación que emitió el certificado del sitio web.

Cuando te conectas a un sitio web que usa un certificado de validación extendido, Firefox te dice que está administrado por una organización específica. Según este diálogo, VeriSign ha verificado que estamos conectados al sitio web real de PayPal, que es administrado por PayPal, Inc.

Cuando te conectas a un sitio que usa un certificado EV en Chrome, el nombre de la organización aparece en tu barra de direcciones. El diálogo de información nos dice que VeriSign ha verificado la identidad de PayPal mediante un certificado de validación extendido.

El problema con los certificados SSL

Hace años, las autoridades de certificación solían verificar la identidad de un sitio web antes de emitir un certificado. La autoridad de certificación verificará que la empresa que solicita el certificado esté registrada, llame al número de teléfono y verifique que la empresa sea una operación legítima que coincida con el sitio web.

Finalmente, las autoridades de certificación comenzaron a ofrecer certificados «solo de dominio». Estos fueron más baratos, ya que fue menos trabajo para la autoridad de certificación verificar rápidamente que el solicitante poseía un dominio específico (sitio web).

Los phishers finalmente comenzaron a aprovechar esto. Un phisher podría registrar el dominio paypall.com y comprar un certificado solo de dominio. Cuando un usuario se conecta a paypall.com, el navegador del usuario muestra el ícono de candado estándar, proporcionando una falsa sensación de seguridad. Los navegadores no mostraban la diferencia entre un certificado de solo dominio y un certificado que implicaba una verificación más exhaustiva de la identidad del sitio web.

La confianza pública en las autoridades de certificación para verificar los sitios web ha disminuido; este es solo un ejemplo de que las autoridades de certificación no han realizado su diligencia debida. En 2011, la Electronic Frontier Foundation descubrió que las autoridades de certificación habían emitido más de 2000 certificados para «localhost», un nombre que siempre se refiere a su computadora actual. (Fuente) En las manos equivocadas, dicho certificado podría facilitar los ataques de hombre en el medio.

Cómo los certificados de validación extendida son diferentes

Un certificado EV indica que una autoridad de certificación ha verificado que el sitio web es administrado por una organización específica. Por ejemplo, si un phisher intenta obtener un certificado EV para paypall.com, la solicitud será rechazada.

A diferencia de los certificados SSL estándar, solo las autoridades de certificación que pasan una auditoría independiente pueden emitir certificados EV. La Autoridad de Certificación/Foro del navegador (CA/Browser Forum), una organización voluntaria de autoridades de certificación y proveedores de navegadores como Mozilla, Google, Apple y Microsoft, emite estrictas pautas que todas las autoridades de certificación que emiten certificados de validación extendida deben seguir. Idealmente, esto evita que las autoridades de certificación participen en otra «carrera hacia el fondo», donde utilizan prácticas de verificación laxas para ofrecer certificados más baratos.

En resumen, las directrices exigen que las autoridades de certificación verifiquen que la organización que solicita el certificado está registrada oficialmente, que posee el dominio en cuestión y que la persona que solicita el certificado actúa en nombre de la organización. Esto implica verificar los registros gubernamentales, contactar al propietario del dominio y contactar a la organización para verificar que la persona que solicita el certificado trabaja para la organización.

Por el contrario, la verificación de un certificado de dominio solo puede implicar un vistazo a los registros whois del dominio para verificar que el registrante está utilizando la misma información. La emisión de certificados para dominios como «localhost» implica que algunas autoridades de certificación ni siquiera están haciendo tanta verificación.Los certificados EV son, fundamentalmente, un intento de restaurar la confianza pública en las autoridades de certificación y restaurar su papel como guardianes contra los impostores.

Rate article
labsfabs.com
Add a comment