Sé que ha habido implementaciones SSL rotas o débiles. ¿Los navegadores realmente tienen estándares decentes para lo que aceptarán y mostrarán "el candado"?
Además, ¿existen ataques prácticos desde la perspectiva de un intruso contra una conexión SSL completamente moderna?
¿Debería el candado hacerme sentir cálida y borrosa?
Los navegadores usan el candado para mostrar que usan SSL. Si:
Entonces, sí, el candado brinda una seguridad razonable de que realmente está hablando con el servidor que espera (no es realmente el que piensa , sino el que tiene el nombre en la URL ) y nadie espiando en la línea puede ver lo que está intercambiando con el servidor. Las garantías son competencia de las más de 80 autoridades de certificación en las que su navegador o sistema operativo confía de forma predeterminada. Por extraño que parezca, los grandes percances en el lado de California parecen ocurrir solo raramente, aproximadamente una vez al año en promedio (¡en todo el mundo!).
Por supuesto, si su navegador no es reciente, tiene serias vulnerabilidades y su máquina es tan buena como pirateada. Si jugó con la configuración de seguridad, es posible que haya habilitado conjuntos de cifrado con poca o ninguna seguridad. Si su navegador mostraba una gran advertencia y la ignoraba, entonces se encuentra solo. Si se está ejecutando un software hostil en su máquina, ya no es su máquina.
Y SSL solo protege el medio de transporte . El servidor del otro lado es libre de manipularse de manera arbitraria. Cuando los números de las tarjetas de crédito son robados, no son escuchados en la línea; Son saqueadas directamente de la base de datos del servidor. El candado no dice nada sobre lo robusto y seguro que está el servidor.
No, el candado no debe hacerte sentir cálido y borroso, todo lo que significa es que el navegador se ha conectado a un destino con SSL. Esto es algo bueno en general, sin embargo, no debe dejar que piense que sus datos están completamente seguros porque:
Es ciertamente mejor que ningún cifrado, pero ver el candado no es una garantía.
Entonces, ¿qué significa realmente la cerradura? El usuario promedio no está informado sobre este tema, y para este usuario solo se siente seguro. Pero, en realidad, cualquier imagen de un candado hace que las personas se sientan seguras, incluso un favicon un bloqueo ssl / tls fue suficiente para engañar a la mayoría de los usuarios .
Para el navegador, la conexión TLS que representa el bloqueo es una herramienta útil para prevenir ataques como Firesheep y cumplir con OWASP a9 . (Y SÍ , StackOverflow y StackExchanges son vulnerables ). Sin embargo, esta protección no se escala muy bien. Hay una gran cantidad de CA que pueden generar un certificado válido. Si su adversario cae en el ámbito de los ataques patrocinados por el estado, entonces la firma de una CA pública no garantiza nada. (Hay muchos ejemplos de gobiernos que abusan de la PKI .)
SSL / TLS sigue siendo un protocolo muy útil, es solo la PKI que está rota. Fijación de certificados es una buena solución para los PKI's deficiencias. Una aplicación aún puede confiar en el secreto, e integrar SSL / TLS mientras se basa en un sistema que no es de CA para la autenticidad.
Obligatorio: Moxie Marlinspike y el futuro de la autenticidad .
Esta es realmente una pregunta compleja que requiere una comprensión bastante completa de cómo funciona SSL. Primero, en el nivel del navegador, en algunos casos, hay una manera de hacer que un bloqueo aparezca como un ícono de sitio en lugar de un indicador SSL real.
Luego, SSL no indica realmente que estás hablando con quien quieres, sino que la URL con la que el navegador coincidirá con el certificado presentado por el host y que el certificado fue firmado por una CA que aparece en las Autoridades de certificación de confianza de su navegador (que es una lista mantenida localmente).
Para asegurarse de que las cosas estén seguras, debe consultar los detalles del certificado para asegurarse de que sean válidos y del sitio al que desea ir. Esto normalmente se puede hacer haciendo clic o colocando el mouse sobre el ícono de bloqueo. También debe tener en cuenta que si su computadora está en peligro con un virus, es posible que se agregue una CA no válida a la tienda local, lo que podría hacer que un sitio falso se indique como válido bajo la CA falsa.
En lo que respecta a la comunicación real, SSL asegurará que la comunicación no pueda ser escuchada, pero el bloqueo no es un indicador claro de que está hablando con la persona correcta sin hacer una excavación adicional y estar atento para garantizar que su computadora está en buen estado de funcionamiento y no está infectada con malware localmente.
La imagen del candado puede ser falsa, no lo vería por ningún tipo de seguridad.
Si la propia URL utiliza el protocolo HTTPS, entonces al menos sabrá que sus datos se están cifrando en tránsito en algún asunto de SSL o TLS. Como señaló @GdD, SSL / TLS tiene algunas debilidades inherentes, que pueden ser explotadas. Además, estamos viendo un aumento en los ataques y explotaciones que se están lanzando contra SSL / TLS (vea esto ArsTechnica artículo Acabo de leer esta mañana ).
Su pregunta original estaba buscando "... ¿Indica una seguridad razonable contra la interceptación?". Como se dijo, con la imagen del candado en sí, mi respuesta es "no". Sin embargo, a través de HTTPS, mi respuesta es "sí" siempre que recuerde la palabra clave en su pregunta de "razonable", no "absoluto".
Lea otras preguntas en las etiquetas web-browser encryption tls