Confiabilidad de las autoridades de certificación y certificados en 2015

0

Me topé con este artículo en Netcraft. El artículo afirma que muchas de las principales CA han otorgado cientos de certificados a organizaciones falsas.

¿Hay algo de verdad en estas afirmaciones? ¿Hay algún dato que lo respalde?

También es preocupante que estos certificados falsos hayan sido emitidos por muchas de las principales CA. En el pasado, nunca he oído hablar de un incidente similar en una escala tan masiva (puede que aquí sea ignorante, siéntase libre de iluminarme). ¿La calidad de PKI para la web ha bajado últimamente?

    
pregunta JOW 19.10.2015 - 11:36
fuente

1 respuesta

1
  

¿Hay algo de verdad en estas afirmaciones? ¿Hay algún dato que lo respalde?

¿Qué datos necesita para respaldar las reclamaciones además de las que ya están en el artículo? Netcraft generalmente no es una compañía que hace reclamos infundados.

  

¿Ha bajado la calidad de PKI para la web últimamente?

No lo creo. Pero dado que cada vez más usuarios vinculan SSL con la seguridad y los sitios de suplantación de identidad (phishing) quieren verse seguros, se abusa más del sistema existente de chequeos maliciosos por parte de la AC. La mayoría de los usuarios no entienden que SSL solo protege el transporte y hace declaraciones sobre la seguridad del sitio.

Pero en realidad, desde la perspectiva de una víctima potencial, un sitio como https://phypal.com (ejemplo del artículo de Netcraft) probablemente no sea más confiable que https://paypal.secure-payments.toplevel o https://support.toplevel/paypal/ , lo que probablemente podría crear fácilmente incluso cuando se realizan controles más estrictos hecho por el CA. Por lo general, hay muchas formas de hacer que su sitio se vea confiable. En mi opinión, es mucho más importante educar a los usuarios sobre el tipo de seguridad que realmente pueden obtener de SSL y contra qué no protege.

    
respondido por el Steffen Ullrich 19.10.2015 - 12:27
fuente

Lea otras preguntas en las etiquetas