¿Qué hacer en caso de un certificado débil en el sitio web de mi banco?

Navega tus respuestas
2

El sitio web de mi banco, aunque siempre ha tenido un 'candado verde' en la barra de direcciones, ya no lo tiene. Luego llamé al banco con un número de teléfono que encontré en el mismo sitio web y le pedí al operador que me leyera el número de serie del certificado. Ella se negó a hacer esto e insistió en que le leyera el número de serie y que ella la verificara.

Negué esto y le expliqué que no puedo confiar en su número de teléfono. Si bien la lectura del número de serie no me da mucha seguridad (después de todo, si estoy hablando con un pirata informático, ella me leería el número de serie del certificado no válido), no lo hice. No se sienta cómodo al leerle el número de serie; es muy fácil decir "Sí, es correcto".

No sé por qué se negó a darme el número de serie (¿realmente cree que se trata de información confidencial? Espero que no. Lo más probable es que la hayan entrenado para que no proporcione demasiada información)

Pero esto me hizo pensar. ¿Qué debo hacer en caso de que el certificado del sitio web de mi banco aparezca como débil, inválido, caducado, ...?

Nota: Soy muy cauteloso hoy ya que este es el segundo sitio web del banco que visito hoy, que no tiene un candado verde. El otro incluso tenía una cruz roja. No sé si mi navegador / computadora está comprometida o si solo Chromium es más reacio a aceptar las firmas SHA-1. Cuando llamé al otro banco, ni siquiera quería verificar el número de serie conmigo, y después de eso me tomó diez minutos convencerlo de que hiciera una nota sobre el certificado para sus superiores, que estoy bastante seguro de que no hare En qué mundo vivimos.

Los sitios web de los bancos son: banco ASN y ING bank .

    
pregunta Keelan 11.08.2015 - 17:03
fuente

1 respuesta

5

El bloqueo verde indica que se está utilizando un Certificado de Validación Extendida . Esto significa que la organización ha pasado por algunas verificaciones extendidas antes de emitir el certificado para su dominio.

Debería tener razón para sospechar si esto cambia repentinamente a un certificado DV o OV (Dominio Validado u Organización Validado), que son más fáciles de obtener y difíciles de distinguir para un usuario. Verificar que el certificado es válido es una buena decisión, sin embargo, tenga en cuenta que debe estar revisando la huella digital, no el número de serie .

Puede consultar las huellas digitales de SSL en línea usando servicios como this en GRC.

Obligatorio attrition .

Tenga en cuenta que si fue objeto de un ataque dirigido, un Man In The Middle podría alterar la página de GRC para mostrarle las huellas dactilares del certificado que ella estaba falsificando. Es poco probable, pero es importante incluir esta información aquí porque es técnicamente posible. Puede consultar la página de GRC a través de TOR o a través de otra conexión (por ejemplo, a través de 3 / 4G) para verificar que su conexión principal no haya sido MITM'd (y, de hecho, los sitios mismos para ver si tienen la misma huella digital). / p>

Es probable que un operador de telefonía bancaria no sea lo suficientemente técnico para saber qué es un número de serie y cuáles son las consecuencias de darle.

  

Pero esto me hizo pensar. ¿Qué debo hacer en caso de que el certificado de   el sitio web de mi banco aparece como débil, inválido, caducado, ...?

Por un lado, no use el sitio para ninguna información confidencial. Sí, llame al banco, utilizando un número de teléfono de confianza (por ejemplo, en la parte posterior de su tarjeta bancaria), pero pida hablar con alguien del soporte técnico del sitio web y explíquele el problema.

    
respondido por el SilverlightFox 11.08.2015 - 17:27
fuente

Lea otras preguntas en las etiquetas

La persona que llama a la estafa afirmó tener el "identificador único de Windows" de un amigo anciano ¿Cuáles son los peligros de la inyección de sql con php?