5 problemas graves con HTTPS y seguridad SSL en la web

Feb 13, 2025
Privacidad y seguridad

HTTPS, que usa SSL , proporciona verificación de identidad y seguridad, para que sepa que está conectado al sitio web correcto y nadie puede espiarlo. De todos modos, esa es la teoría. En la práctica, SSL en la web es un desastre.

Esto no significa que el cifrado HTTPS y SSL no valgan nada, ya que definitivamente son mucho mejores que utilizar conexiones HTTP sin cifrar. Incluso en el peor de los casos, una conexión HTTPS comprometida solo será tan insegura como una conexión HTTP.

La gran cantidad de autoridades de certificación

RELACIONADO: ¿Qué es HTTPS y por qué debería importarme?

Su navegador tiene una lista integrada de autoridades de certificación confiables. Los navegadores solo confían en los certificados emitidos por estas autoridades de certificación. Si visitaste https://example.com, el servidor web de example.com te presentaría un certificado SSL y tu navegador comprobaría que el certificado SSL del sitio web fue emitido para example.com por una autoridad de certificación de confianza. Si el certificado fue emitido para otro dominio o si no fue emitido por una autoridad certificadora de confianza, verá una advertencia seria en su navegador.

Un problema importante es que hay tantas autoridades de certificación, por lo que los problemas con una autoridad de certificación pueden afectar a todos. Por ejemplo, puede obtener un certificado SSL para su dominio de VeriSign, pero alguien podría comprometer o engañar a otra autoridad certificadora y obtener un certificado para su dominio también.

Las autoridades de certificación no siempre han inspirado confianza

RELACIONADO: Cómo los navegadores verifican las identidades del sitio web y se protegen contra los impostores

Los estudios han encontrado que algunas autoridades de certificación no han realizado ni siquiera la mínima diligencia debida al emitir certificados. Han emitido certificados SSL para tipos de direcciones que nunca deberían requerir un certificado, como "localhost", que siempre representa la computadora local. En 2011, la EFF encontró más de 2000 certificados para "localhost" emitidos por autoridades de certificación legítimas y confiables.

Si las autoridades de certificación de confianza han emitido tantos certificados sin verificar que las direcciones son válidas en primer lugar, es natural preguntarse qué otros errores han cometido. Quizás también hayan emitido certificados no autorizados para los sitios web de otras personas a los atacantes.

Los certificados de validación extendida, o certificados EV, intentan resolver este problema. Hemos cubierto los problemas con los certificados SSL y cómo los certificados EV intentan resolverlos .

Se podría obligar a las autoridades de certificación a emitir certificados falsos

Debido a que hay tantas autoridades de certificación, están en todo el mundo y cualquier autoridad de certificación puede emitir un certificado para cualquier sitio web, los gobiernos podrían obligar a las autoridades de certificación a emitir un certificado SSL para un sitio que quieren suplantar.

Esto probablemente sucedió recientemente en Francia, donde Google descubrió La autoridad certificadora francesa ANSSI había emitido un certificado falso para google.com. La autoridad habría permitido que el gobierno francés o cualquier otra persona que lo tuviera se hiciera pasar por el sitio web de Google, realizando fácilmente ataques de intermediario. ANSSI afirmó que el certificado solo se usó en una red privada para espiar a los propios usuarios de la red, no por el gobierno francés. Incluso si esto fuera cierto, sería una violación de las propias políticas de ANSSI al emitir certificados.

El secreto perfecto y directo no se usa en todas partes

Muchos sitios no utilizan el "secreto directo perfecto", una técnica que haría más difícil descifrar el cifrado. Sin un secreto directo perfecto, un atacante podría capturar una gran cantidad de datos cifrados y descifrarlos todos con una única clave secreta. Sabemos que la NSA y otras agencias de seguridad estatales de todo el mundo están capturando estos datos. Si descubren la clave de cifrado utilizada por un sitio web años después, pueden usarla para descifrar todos los datos cifrados que han recopilado entre ese sitio web y todos los que están conectados a él.

El secreto hacia adelante perfecto ayuda a protegerse contra esto al generar una clave única para cada sesión. En otras palabras, cada sesión está encriptada con una clave secreta diferente, por lo que no todas se pueden desbloquear con una sola clave. Esto evita que alguien descifre una gran cantidad de datos cifrados a la vez. Debido a que muy pocos sitios web utilizan esta función de seguridad, es más probable que las agencias de seguridad estatales puedan descifrar todos estos datos en el futuro.

Hombre en el medio Ataques y personajes Unicode

RELACIONADO: Por qué el uso de una red Wi-Fi pública puede ser peligroso, incluso al acceder a sitios web encriptados

Lamentablemente, los ataques man-in-the-middle todavía son posibles con SSL. En teoría, debería ser seguro conectarse a una red Wi-Fi pública y acceder al sitio de su banco. Sabes que la conexión es segura porque es a través de HTTPS, y la conexión HTTPS también te ayuda a verificar que realmente estás conectado a tu banco.

En la práctica, podría ser peligroso conectarse al sitio web de su banco en una red Wi-Fi pública. Existen soluciones listas para usar que pueden hacer que un punto de acceso malicioso realice ataques de intermediario en las personas que se conectan a él. Por ejemplo, un punto de acceso Wi-Fi podría conectarse al banco en su nombre, enviando datos de un lado a otro y sentándose en el medio. Podría redirigirle furtivamente a una página HTTP y conectarse al banco con HTTPS en su nombre.

También podría utilizar una "dirección HTTPS similar a un homógrafo". Esta es una dirección que parece idéntica a la de su banco en la pantalla, pero que en realidad usa caracteres Unicode especiales, por lo que es diferente. Este último y más aterrador tipo de ataque se conoce como ataque homógrafo de nombre de dominio internacionalizado. Examine el conjunto de caracteres Unicode y encontrará caracteres que se ven básicamente idénticos a los 26 caracteres utilizados en el alfabeto latino. Quizás las o en el google.com al que estás conectado no son en realidad o, sino otros personajes.

Cubrimos esto con más detalle cuando miramos los peligros de usar un punto de acceso Wi-Fi público .

Por supuesto, HTTPS funciona bien la mayor parte del tiempo. Es poco probable que te encuentres con un ataque de intermediario tan inteligente cuando visites una cafetería y te conectes a su Wi-Fi. El punto real es que HTTPS tiene serios problemas. La mayoría de la gente confía en él y no es consciente de estos problemas, pero no es ni de lejos perfecto.

Credito de imagen: Sarah Joy

.entrada-contenido .entry-footer

What Is Https And How To Install SSL Certificate

Transport Layer Security Overview (TLS / SSL) | Security 5

SSL, TLS, HTTP, HTTPS Explained

How To Add HTTPS SSL Certificate To WordPress Website

How To Get Https For Website - Get SSL Certificate Free

Get An SSL Certificate Green Padlock On Your Wordpress Website - HTTPS

Add SSL Certificate To WordPress Website With Really Simple SSL Certificate From HTTP To HTTPS

Free SSL Certificate For Your Website With CloudFlare. Full End To End Encryption With Free Https

How To Run Site Using Https On IIS(Install SSL Certificate For Website)

What Is SSL And How Does It Work?

Privacidad y seguridad - Artículos más populares

El error de Facebook otorgó a los usuarios bloqueados acceso a sus publicaciones y fotos

Privacidad y seguridad Jul 6, 2025

CONTENIDO NO CUBIERTO Un error de Facebook desbloqueó temporalmente a personas para 800.000 usuarios de Facebook, lo que dio brevemente a las personas bloqueadas acceso a publica..

Cómo asegurarse de que una extensión de Chrome sea segura antes de instalarla

Privacidad y seguridad Apr 3, 2025

Gran parte de la potencia y la flexibilidad de Chrome proviene de su enorme ecosistema de extensiones. El problema es que estas extensiones también pueden robar datos, vigilar todo..

¿Qué está fragmentado? Explicación de los ataques de colisión SHA-1

Privacidad y seguridad Mar 1, 2025

El primer día de 2016, Mozilla canceló el soporte para una tecnología de seguridad debilitada llamada SHA-1 en el navegador web Firefox. Casi de inmediato, revocaron su decisión..

Las mejores funciones nuevas en iOS 10 (y cómo usarlas)

Privacidad y seguridad Oct 12, 2025

CONTENIDO NO CUBIERTO iOS 10 es una de las mayores actualizaciones que Apple ha realizado en su sistema operativo móvil. Si está abrumado por todas las funciones nuevas y mejora..

Cargue archivos a un sitio FTP con un clic derecho utilizando este sencillo script

Privacidad y seguridad Sep 29, 2025

CONTENIDO NO CUBIERTO Si bien hay una gran cantidad de clientes FTP disponibles, nada es más fácil que enviar archivos a un servidor FTP con un clic derecho. Asimismo, hay un mo..

Cómo potenciar su experiencia SABnzbd con ajustes, complementos y aplicaciones móviles

Privacidad y seguridad Sep 1, 2025

CONTENIDO NO CUBIERTO El mes pasado nosotros le mostró cómo comenzar con Usenet usando SABnzbd . Ahora volvemos para mostrarle cómo potenciar su experiencia SABn..

Instale Microsoft Security Essentials 2.0 Beta en Windows Home Server "Vail"

Privacidad y seguridad Aug 3, 2025

CONTENIDO NO CUBIERTO La semana pasada, Microsoft anunció que MSE 2.0 estaba disponible para pruebas beta públicas. Lo bueno es que la nueva versión de MSE se instala en Windows Home Ser..

Eliminar software malicioso de un sistema infectado con Ad-Aware 2009

Privacidad y seguridad Aug 5, 2025

CONTENIDO NO CUBIERTO A principios de esta semana, le mostramos qué tan problemático es realmente el software espía , luego te mostramos cómo limpiarlo con Spybot..

Categorías