Yo uso Windows 8.1 Pro 64 bit y IE11. Tengo dos certificados personales (con clave privada) míos en el almacén de certificados del sistema. Ambos están configurados para requerir una contraseña antes de que puedan ser utilizados.
Esto funcionó hasta hace unos días. Entonces me di cuenta de que uno de ellos es accesible sin una contraseña. ¿Cómo pudo pasar eso?
Lo que normalmente hago es:
- Abro un sitio web HTTPS que requiere autenticación de certificado
- el cuadro de diálogo aparece para seleccionar un certificado (solo se ofrece uno, según la CA, cada uno de mis certificados es de diferentes CA)
- después de seleccionarlo, aparece otro cuadro de diálogo del sistema, que solicita otorgar o denegar el acceso al certificado y, para otorgarlo, debo ingresar la contraseña
- después de ingresar la contraseña correcta, se carga el sitio web
Esto funcionó así para ambos certificados (cada uno usado en un sitio web diferente). Pero recientemente, un certificado ya no requiere la contraseña. Solo puedo seleccionarlo y usarlo para acceder al sitio web. El otro todavía requiere la contraseña.
Para comprobar que mi memoria no esté jugando trucos conmigo, restauré una copia de seguridad de la imagen del sistema hace unos meses. Tiene Windows 8 Pro y IE10. Allí ambos certificados piden una contraseña. (Actualicé ese sistema a Windows 8.1 a través de la Tienda Windows).
No veo una manera de cambiar el nivel de seguridad de los certificados después de que se importan, por lo que no lo hice yo mismo y lo olvidé.
Puedo volver a importar el certificado y establecer una contraseña para él, pero la pregunta es, ¿cómo sucedió esto? Revisé la PC en busca de malware (arrancando desde una llave USB: HBCD y Ubuntu) y no encontré nada.