¿Cuál es el uso real de los certificados en la web?

Navega tus respuestas
0

Cuando obtiene un certificado de un sitio web que visita, firmado por una CA de confianza, ¿es digno de confianza porque la autoridad de la CA hizo una verificación de antecedentes sobre ellos?

¿Pero cómo ayuda esto con los sitios web falsos?

Imagina esto:

  • alguien hizo un fakebook.com y lo hizo ver exactamente como Facebook
  • el usuario realmente escribió en fakebook.com por error (por error)
  • fakebook.com ha adquirido un certificado de las CA confiables
  • El certificado dice que es "Fakebook" y no "Facebook" lo que es justo
  • El usuario ve el icono verde y está feliz. Él va a usar Fakebook.

Para evitar lo anterior, ¿deberían todas las CA revisar manualmente el sitio web y ver si está intencionalmente hecho para parecerse a otro sitio web?

Leí sobre una CA que dio certificados por error a un individuo que dice ser Microsoft. ( enlace ) ¿Qué significa esto? ¿Alguien creó un sitio web y usó "Microsoft" como nombre del propietario? Cuando los usuarios visitan sitios web, no es como si realmente vieran quién es el propietario. Todo lo que les importa es si está firmado por algún CA de confianza. ¿Qué importa qué nombre de propietario usó ese individuo para adquirir un certificado?

    
pregunta learner 29.03.2015 - 09:13
fuente

2 respuestas

5
  

es digno de confianza porque la autoridad de CA hizo una verificación de antecedentes sobre ellos?

No. Un certificado SSL es comparable a un pasaporte: dice quién es la persona y en qué país emitió el pasaporte. Pero no dice qué tan confiable es la persona.

El uso principal del certificado es hacer posible el cifrado de extremo a extremo, es decir, proteger contra ataques de intermediarios al verificar que el nombre de host en su URL coincide con el nombre que figura en el certificado y que el certificado es emitido por una CA de confianza. No más, ni menos.

En la mayoría de los casos, la única comprobación que realizará la entidad emisora de certificados es ver si tiene acceso a una dirección de correo electrónico específica del dominio, es decir, [email protected] o similar. Para los certificados EV, se harán más verificaciones, pero nadie hará verificaciones de antecedentes de su historial criminal o algo así.

Por lo tanto, la única confianza que obtiene del certificado es que el propietario del certificado probablemente posea este dominio. E incluso eso no es cierto en todos los casos porque la CA podría ser hackeada o el sitio tenía una configuración insegura para que el atacante pudiera obtener un certificado, etc.

En ningún caso puede derivar del certificado si el sitio en sí es confiable, si es capaz de proteger sus datos privados, si fue pirateado, etc. Y un certificado no lo protege contra sitios falsificados o personas malas que afirman se buenos chicos

    
respondido por el Steffen Ullrich 29.03.2015 - 10:43
fuente
1

"fakebook.com ha adquirido un certificado de las CA confiables": Normalmente (y dije normalmente , porque decirlo así "el mundo no es perfecto") este paso no debería suceda.

Una CA realmente confiable debería beneficiarse de servicios específicos de sociedades de terceros (como Netcraft ) por lo tanto, cuando intente registrar un nuevo nombre de dominio, lo comprobarán automáticamente con estos servicios antes de permitirle continuar. Tiene más información en la página vinculada, pero para decirlo brevemente, dicho servicio asociará un nivel de riesgo al nombre de dominio solicitado, dependiendo de la similitud con un dominio existente actualmente (incluyendo diferentes tipos de transformación en el nombre), lo que permite al registrador Sistema para tomar las medidas adecuadas (rechazar automáticamente, verificar manualmente, etc.).

    
respondido por el WhiteWinterWolf 29.03.2015 - 14:03
fuente

Lea otras preguntas en las etiquetas

¿Las compañías de EE. UU. tienen requisitos de ciudadanía para empleados relacionados con la seguridad? [cerrado] ¿Cómo obtener la contraseña de usuario de mysql? [cerrado]