¿Por qué los navegadores aceptan de forma predeterminada los certificados de Let's Encrypt? [duplicar]

Navega tus respuestas
33

Hace poco me atrapo un intento de phishing, debido al uso de un nombre de dominio relativamente convincente y un certificado SSL válido (específicamente este sitio web ). Al verificar el certificado, resulta que fue emitido por Let's Encrypt. Así que fui allí y, en la medida en que entiendo, el proceso para emitir un certificado es automático: si posee un dominio, puede obtener un certificado.

Sin embargo, ¿no es un problema de seguridad y no va (al menos parcialmente) contra el punto de los certificados SSL? Los sitios web maliciosos ahora pueden lucir legítimos gracias a estos certificados, lo que hace que sea mucho más probable que tengan éxito. En mi caso vi el candado verde en la URL y pensé que todo estaba bien. Ahora parece que, debido al emisor de este certificado, se espera que los usuarios hagan clic en ese candado y verifiquen quién emitió el certificado (y cierre la pestaña si es de letsencrypt ??).

Entonces, me pregunto, dado el riesgo de seguridad, ¿por qué los navegadores aceptan este certificado de forma predeterminada? Me sorprende especialmente que Chrome lo haga dado lo cuidadoso que es Google con la seguridad. ¿Consideran que "letencrypt" es una buena idea?

    
pregunta this.lau_ 25.11.2016 - 13:49
fuente

3 respuestas

127

Creo que está malinterpretando lo que realmente certifica un certificado SSL y contra qué está diseñado para protegerlo.

Un certificado estándar solo certifica que el propietario del certificado controla realmente el dominio en cuestión. Por lo tanto, un certificado para g00dbank.com solo certifica que el propietario controla el dominio g00dbank.com . No certifica que el propietario sea un banco, que ella es buena , o que el sitio es de hecho el conocido Good Bank Incorporated.

Por lo tanto, SSL no está diseñado para proteger contra el phishing. El hecho de que vea el candado verde en la esquina izquierda no significa que todo esté bien. También debe verificar que está en el sitio web correcto, que está en goodbank.com (a diferencia del phishy g00dbank.com ) y que goodbank.com es de hecho el sitio web de Good Bank Incorporated.

Para hacer esto más fácil para el usuario promedio, hay algo que se llama certificados de Validación Extendida (EV). Estos también verifican que usted es la entidad legal que dice ser, al exigirle que realice algunos trámites. La mayoría de los principales navegadores los destacan mediante mostrando el nombre del propietario en la barra de direcciones .

Entonces, para obtener un certificado de EV, los phishers en g00dbank.com tendrían que iniciar un negocio real (dejando así un rastro de papel), e incluso entonces probablemente no obtendrían uno porque su nombre está cerca de un objetivo sensible.

Permite que Encrypt no emita certificados EV. Emiten los ordinarios. Pero los phishers que encontraste pudieron haber obtenido un certificado de cualquier parte. De hecho, como IMSoP señala en los comentarios, el método Lets Encrypt usa es empleado por muchos de los CA establecidos: Además, la única diferencia es que Lets Encrypt es más eficiente y económico. Así que esto no tiene nada que ver con Lets Encrypt específicamente, y bloquearlos no resolvería nada.

    
respondido por el Anders 25.11.2016 - 14:08
fuente
23

¿Por qué su navegador confía en los certificados de la iniciativa Let's Encrypt?

Solo para aclarar esta parte: su navegador / computadora confía en estos certificados, porque reconoció la CA raíz "DST Root CA X3" y la almacenó en una lista con certificados confiables. El CA "DST Root CA X3" confía de nuevo en Let's Encrypt y ha firmado su certificado.

¿Son los certificados gratuitos / baratos / fáciles de obtener un problema de seguridad?

No.

Tener un certificado firmado o servir https no implica que el sitio web sea malicioso o no. Solo demuestra que se conectó a un servidor que tiene un certificado válido y firmado para el dominio.

    
respondido por el Stefan Braun 25.11.2016 - 14:07
fuente
12

El certificado no ofrece más garantía de lo que está en el propio certificado. En el caso de Vamos a cifrar certificados, todo lo que se garantiza es que el servidor al que está conectado pertenece a la misma entidad que posee el nombre de dominio que utilizó para conectarse a él.

Hay otra clase de certificado llamado "certificado de validación extendida" donde la CA emisora realiza algunas verificaciones más. Básicamente, la verificación de que el dominio es propio por una entidad comercial existente. El navegador normalmente mostrará dicho certificado con un indicador verde con más detalles (Chorme, por ejemplo, agregará "la conexión es segura y la compañía es conocida") a la descripción del certificado.

Básicamente, la presencia de un certificado SSL válido no indica que el dominio de destino sea seguro. Incluso el certificado EV no te dice mucho (aunque es un poco mejor).

    
respondido por el Stephane 25.11.2016 - 14:04
fuente

Lea otras preguntas en las etiquetas

¿Los expertos en seguridad recomiendan ahora mosh? (2014) Implicaciones de seguridad de rootear Android