Muchos de nosotros probablemente hayamos notado varias marcas relacionadas con la seguridad en los navegadores.’ barras de direcciones, pero nuestra comprensión de lo que significaba todo esto seguía siendo vaga. Estas cosas son un icono de candado cerrado., resaltado verde y amarillo del enlace, y, si algo anda mal, vemos un icono de candado abierto, HTTPS cruzado al principio de la dirección web, y resaltado rojo. Todos los signos mencionados están relacionados con Certificados SSL. Qué son y por qué los sitios web modernos los necesitan son los temas de esta publicación..
¿Qué es el certificado SSL?, Como funciona
SSL significa Capa de sockets seguros. Es un protocolo criptográfico para conexiones seguras.. El 3.0 La versión de SSL se llama Seguridad de la capa de transporte., pero todo el mundo todavía usa el antiguo nombre del protocolo.. Cuando decimos SSL, nos referimos a TLS. El protocolo ha sido creado para mantener la transferencia de datos segura.. La combinación de métodos de cifrado simétrico y asimétrico hace que una conexión protegida SSL sea imposible de piratear en un tiempo razonable.. Así que, ¿Cómo funciona un certificado SSL trabajar?
¿Por qué necesitamos certificados SSL??
Se requiere cifrado SSL para descartar la interceptación de datos por parte de piratas informáticos. Tal ataque se llama hombre en el medio1. Si los malhechores lo logran, pueden robar datos confidenciales que compartimos con sitios web. Sin embargo, gracias a SSL, si incluso los piratas informáticos obtienen los datos transferidos en el camino, tendran que decodificarlo, que les llevará eones. Sin embargo, Eso no es suficiente porque los piratas informáticos y los estafadores pueden falsificar los sitios web conocidos o atraer a los usuarios a sus propias páginas., engañarlos presentando claves públicas falsas (necesario para el procedimiento de autenticación SSL.) Para abordar esto, un certificado firmado digitalmente emitido a un sitio web garantiza la seguridad del propio dominio.
¿Qué es una autoridad de certificación??
certificado SSL es la asignación basada en la confianza para participar en las comunicaciones seguras del mundo moderno.. Lo emiten autoridades confiables llamadas Autoridades Certificadoras a sitios web confiables.. Cuanto más caro es el certificado, más confianza presenta y más tiempo tardan las comprobaciones preliminares. Hay muchas CA en el mundo., y emiten millones de certificados al año. La firma digital de la autoridad asegura la Certificados SSL emite.
¿Cómo funcionan los certificados SSL??
El servidor equipado con un certificado tiene un archivo de datos que el navegador solicita cuando intenta acceder al sitio web.. El certificado contiene la siguiente información.: el nombre de dominio para el que fue creado, la persona, organización, o dispositivo para el que fue emitido, el nombre de la autoridad certificadora, su firma digital, lista de subdominios asociados, fecha de emisión y vencimiento del certificado, la clave de cifrado pública. Hay algo más, pero los elementos enumerados son los más importantes.
«Apretón de manos» procedimiento
El procedimiento de intercambio de datos entre el cliente. (navegador) y el servidor equipado con un certificado SSL se llama un «apretón de manos.» Se tarda menos de un segundo en realizar esta operación., pero su importancia es difícil de sobreestimar. Todo sucede en varios pasos, comenzando con un navegador que envía su solicitud al servidor.. El servidor envía una copia de su certificado al cliente.; si el certificado es satisfactorio, el navegador envía una respuesta respectiva estableciendo una conexión cifrada segura a partir de entonces. El punto es que el procedimiento de autenticación utiliza cifrado asimétrico para iniciar un cifrado simétrico que solo es válido para la sesión actual..
Para no dejar tu curiosidad insatisfecha, mencionaremos brevemente algunas características de la criptografía asimétrica. en lo habitual (simétrico) criptografía, ambas partes tienen la misma clave secreta. Si los malhechores obtienen esta llave, pueden leer fácilmente cualquier mensaje interceptado. El cifrado asimétrico funciona de otra manera. Opera con clave pública., utilizado para cifrar mensajes, y una clave privada (nunca compartido) utilizado para decodificar mensajes2. Simplificar, podemos decir que el navegador y el servidor intercambian candados que no necesitan llave para cerrarse, pero no comparten claves. Incluso si los piratas informáticos de alguna manera obtienen el mensaje cifrado (candado), Les llevará billones de años descifrarlo.. En el último paso de la autenticación del protocolo de enlace, el servidor y el cliente intercambian una clave secreta generada únicamente para la sesión actual. Eso les permite cambiar al cifrado simétrico., que es mucho más rápido.
Tipos de certificados
El certificado SSLs puede proporcionar diferentes niveles de confianza, y su precio difiere con respecto a ese (60$ por año en promedio, pero cientos de dólares por las opciones más caras.) Los principales tipos de certificados son los siguientes:
Validación extendida (vehículo eléctrico)
Estos certificados son los más caros.. Proporcionan el más alto nivel de confianza., y son imprescindibles para los sitios web que recopilan usuarios’ datos y recibir o dirigir pagos en línea. El certificado EV requiere el procedimiento de verificación más largo y exhaustivo antes de su emisión.. Cuando el sitio tiene un vehículo eléctrico certificado SSL, su barra de direcciones contiene HTTPS, pero también se muestra el nombre de la empresa y el país.. El icono del candado también está ahí., por supuesto.
Organización validada (VO)
Este certificado es el segundo más caro.. Sus características son prácticamente las mismas que las de los vehículos eléctricos., pero OV se centra en proporcionar el cifrado necesario sin poner tanto énfasis en el prestigio y la presentabilidad..
Dominio validado (DV)
DV es el tipo de certificado más barato. Basta con que el propietario del sitio web responda una llamada telefónica o un correo electrónico para completar el procedimiento de validación.. Sin embargo, DV solo es suficiente para sitios web que no recopilan información ni implican pagos. El cifrado proporcionado aquí es el más débil.. La barra de direcciones solo recibe un candado y una marca HTTPS.
Comodín
Este tipo de certificado se utiliza cuando el propietario del sitio web desea proteger un dominio y un número ilimitado de subdominios.. Por ejemplo, el dominio puede ser sitio web.com y sus subdominios ayuda.sitioweb.com, blog.sitioweb.com, o tienda.website.com. Un certificado comodín los cubrirá todos.
Certificado multidominio (MDC)
Este certificado permite a sus usuarios proteger diferentes dominios y subdominios.. Es como uno comodín., pero la lista de sitios web protegidos no se limita a los subdominios de un dominio! El cliente puede obtener una lista de sitios y subdominios prácticamente aleatorios..
Certificado de Comunicaciones Unificadas (UCC)
UCC es un certificado muy confiable, resaltando en verde la barra de direcciones de sus propietarios’ sitios web. Tiene una función multidominio y un cifrado sólido.. La UCC es muy respetada., compartiendo un nivel de confianza con los certificados EV.
Vencimiento del certificado
Certificados SSL están diseñados para caducar. Esto es así porque el certificado no es el único servicio de cifrado que proporciona., pero la correspondencia de muchos datos sobre la empresa con hechos sobre ella. Esta correspondencia es la que permite a estas autoridades emitir y mantener los certificados.. Dado que todo puede cambiar rápidamente en el mundo empresarial, y los sitios web pueden cambiar de propietario, propiedades, e incluso lo que hacen, Certificados SSL requieren renovación regular. El período de validez de un certificado es de unos dos años., pero los requisitos se vuelven más severos cada año. Ya se escuchan voces para que los certificados no duren más de un año.
Amenazas relacionadas y cómo evitarlas
Más temprano, HTTPS era una señal confiable del estado de seguridad de cualquier sitio web. Ataques de phishing Solía estar fácilmente expuesto debido a la ausencia de la certificado SSL en sitios web relacionados con estafas.
Por un tiempo, Los estafadores han llevado el phishing a un nuevo nivel.. Ahora logran utilizar sitios certificados. 3 en sus esquemas. Por lo tanto, ver el marcado HTTPS y calmarse es el enfoque de ayer. Para evitar ser víctima de phishing, necesitas revisar cualquier sitio para detectar suplantación de identidad.
- Seguir Internet security rules. Nunca abras archivos adjuntos de correo electrónico sospechosos. Lo mismo ocurre con los enlaces.. Si recibe una notificación indicando que duda de la autenticidad de, ponerse en contacto con el servicio que el remitente afirma ser a través de otro canal de comunicación. Intenta llamarlos, por ejemplo.
- Utiliza la razón y la intuición.. Si pronto será imposible confiar en los certificados, sé razonable. No te dejes engañar por la publicidad, donde te prometen algo muy bueno, muy barato, y hasta rapido. Esté atento si supuestamente le enviaron un paquete, aunque no lo esperabas. Y, por supuesto, es poco probable que su primo segundo sea el Príncipe de Brunei en el exilio, quien te legó toda su fortuna.
- Vuelva a verificar si hay enlaces a sitios web y direcciones de correo electrónico falsificados. Pueden parecer muy similares a los auténticos y se diferencian por una letra., pero el objetivo de los malhechores es tomarte sigilosamente cuando no estás en guardia.
- Para protegerse del malware en caso de que el ataque de phishing persista, instalar un programa antivirus confiable. GridinSoft Anti-Malware es una de las soluciones más efectivas y versátiles del mercado. Advierte sobre sitios web peligrosos en caso de que intentes acceder a ellos y elimina inmediatamente el malware., si un ataque de phishing exitoso implica infectar la máquina de la víctima.
- Uno de los ejemplos más conocidos de MitM es Kazakhstan’s attempt to launch an SSL certificate que permitiría el espionaje a nivel gubernamental. Google, Mozilla, y Microsoft rechazó el certificado.
- Esta maravilla criptográfica es posible gracias a las características de funciones matemáticas unidireccionales. Son difíciles de revertir, lo que significa costoso en términos de computación. También, el funciones de trampilla son importantes. Son funciones unidireccionales que permiten la inversión si se da un valor adicional de «trampilla». La clave privada desempeña el papel de esa «trampilla» en el cifrado asimétrico.
- Las estadísticas al respecto eran alarmantes back in 2020 ya.