Certificados Digitales y HTTPS

Si queremos hablar sobre HTTPs y los certificados digitales, no nos queda otro remedio que hablar, también, sobre la criptografía. Pero, no os preocupéis. Iremos directos al grano e intentaremos

Certificados digitales y HTTPS

Si queremos hablar sobre HTTPs y los certificados digitales, no nos queda otro remedio que hablar, también, sobre la criptografía. Pero, no os preocupéis. Iremos directos al grano e intentaremos evitar las partes más difíciles. No obstante, comprenderéis que un cifrado seguro es la mejor garantía para obtener una seguridad y privacidad robusta.

Certificados digitales y HTTPS

Todos sabemos que un candado gris o verde en nuestro navegador es sinónimo de HTTPS (protocolo de transferencia de hipertexto). Además, siempre se ha dicho que debemos comprobar que existe dicho protocolo en la barra del navegador antes de introducir información confidencial en  la web, especialmente si son datos financieros o bancarios. Pero… ¿qué es HTTPS?

HTTPS es la versión segura del protocolo de transferencia de texto, el cual transmite la información en la Red. Cuando nos conectamos una website a través de HTTPS (en vez de HTTP), cualquier dato que introduzcamos (usuario, contraseña, comentario o pago) pasa a través de una capa de seguridad cifrada (TLS) o de su predecesor, SSL.

Así, HTTPS significa cifrado y éste, a su vez, significa seguridad. Pero, dejando la encriptación a un lado, ¿cómo podemos saber que nos estamos comunicando con la persona o el servicio que realmente queremos? Estoy convencido de que ya os habréis hecho esta pregunta: ¿cómo podemos estar seguros de que la página que estamos viendo no es falsa? Pongamos un ejemplo: estamos comprando un producto antivirus de Kaspersky Lab, ¿sabemos con certeza que la información de pago que recibimos no es la estratagema de un hackers ubicado en Rumanía? A parte de esto, ¿cómo podemos saber que no hay alguien interceptando el tráfico de datos? Aquí es donde entran en juego los certificados digitales.

Es posible teclear HTTPS en la barra de cualquier página web antigua. Si el site posee un certificado válido, el servidor presentará dicho certificado al navegador y podrás navegar en ella. Dependiendo del navegador, se puede pinchar en el candado (u otro símbolo equivalente) para obtener información sobre dicho certificado. En cambio, si la web no posee un certificado válido e introducimos en la barra HTTPS, aparecerá la siguiente advertencia:

HTTPS error

Esta notificación es el método para comunicarnos que es imposible verificar la identidad del servidor de la página a la que intentamos conectarnos. Ahora ya podéis entender por qué es tan importante poseer un sistema de certificados como éste para verificar si las páginas y servicios son quienes dicen ser. ¿Recordáis el post sobre los ataques man-in-the-middle?

Ahora que os he explicado, de una forma rudimentaria, el HTTPS y certificados, os preguntaréis cómo están relacionados entre sí. En resumen, el HTTPS significa que la información que enviamos está cifradas de forma segura y el certificado digital certifica que estos datos van a donde se suponen que deben ir.

Hemos explicado cómo  funcionan y por qué existen los certificados digitales. Pero ¿qué son realmente? Un certificado digital es un documento firmado electrónicamente el cual contiene una firma única y vincula una página o servicio a un firmante, que ha confirmado su identidad. Dicha firma es parte del certificado, que confirma que el usuario se está comunicando con quien realmente desea, cifrando los datos en ruta.

La última pieza de este puzzle es la entidad emisora de certificados. Existen varias organizaciones que emiten certificados digitales. Estas entidades se denominan autoridades de certificación. GoDaddy, VeriSign y Entrust son tres de las autoridades de certificación que me vienen, en este momento, a la memoria. Ahora mismo, yo podría autodenominarme autoridad de certificación y empezar a vender certificado a quien quisiera. No obstante, nadie confiaría en mí y no conseguiría cliente alguno. Ésta es la clave de las autoridades de certificación: sólo son buenas si son fiables.

¿Cómo sabemos si son fiables o no? Aquí entra en juego los certificados raíz, fiables, por defecto, en cualquier navegador. Además, también tienen el poder de compartir la confianza que desprenden con otras autoridades de certificación. Por ejemplo: existe una persona llamada Larry que es una autoridad de certificados raíz. Tu navegador va a confiar en cualquier certificado que emita Larry, pero, también va a confiar en cualquier certificado que Larry respalde. Hay una gran cantidad de autoridades de certificación en el mercado y éste es el modo de verificar su autenticidad. Así, existe un número de autoridades de certificación de confianza que deciden si otras autoridades son fiables y todo el mundo contento, ¿verdad? No es tan fácil.

El sistema actual de certificados digitales es complicado y controvertido. Los certificados digitales, las firmas que contienen y las autoridades que respaldan ofrecen confianza. No obstante, es bien sabido dentro del sector que este sistema no es el adecuado.

Las brechas en grandes autoridades de certificación como DigiNotar y Comodo y el hecho de que dos  certificados falsos respaldaran el virus Stuxnet confirman que se necesita un sistema nuevo. El investigador Moxie Marlinspike ha sugerido que su sistema de convergencia SSL es la solución a este problema. A pesar de la presentación de dicho sistema hace dos años y las buenas críticas recibidas, todavía seguimos fiándonos de un sistema de certificación roto; quejándonos y lamentándonos cada vez que nos enteramos de una nueva brecha en una autoridad de certificación pero continuando sin solucionar el problema.

Entonces, ¿qué podemos hacer? Todo lo que podemos hacer es asegurarnos que estamos navegando en modo HTTPS cuando introducimos información personal como datos de pago o credenciales de registro. A parte de esto, podemos pinchar en el candado o su equivalente para examinar el certificado. Los usuarios con más destreza pueden mantenerse al corriente de las noticias de seguridad informática y dejar de confiar en dichas autoridades en el caso de que hayan sido comprometidas. Esto supone que el navegador ya no confiará en dichos certificados respaldados por esa autoridad. Lo mejor es cambiar los ajustes de nuestro navegador cuando escuchemos una noticia de este tipo. Tampoco nos debemos preocupar en exceso porque en el pasado Microsoft, Mozilla y Google reaccionaron muy rápido cuando esto sucedió. De todos modos, debemos actualizar nuestro navegador y sistema operativo regularmente para protegernos de los certificados falsos.

 

 

Consejos