¿Qué hacer para protegerse contra un ataque malintencionado de certificados SSL

¿Cómo DigiCert, navegadores web, y los consumidores informados proteger contra el fraude SSL.

Los certificados SSL para proteger los usuarios de Internet de dos maneras. En primer lugar, SSL encripta la información sensible como nombres de usuario, contraseñas o números de tarjetas de crédito. Certificados de segunda, SSL verificar la identidad de los sitios web.

Si bien este segundo punto puede ocurrir en diferentes grados dependiendo de la compra de un certificado de administración web o el proveedor certificado que él o ella utiliza, todos los certificados SSL al menos confirmar que el sitio web que está en (por ejemplo, www.EjemploBanco.com) es en hecho www.EjemploBanco.com, a diferencia de un sitio Web falso posando como www.EjemploBanco.com.

¿Qué es lo peor que podría pasar?

Al igual que con cualquier aspecto de la seguridad informática, siempre y cuando exista un fuerte incentivo (económico, político, etc) para tratar de jugar con el sistema, habrá jugadores maliciosos en el juego que a tratar de encontrar vulnerabilidades o agujeros en un lugar seguro del sistema.

Muchos de los posibles ataques en contra de un certificado SSL son insostenibles porque la tecnología de la piratería no ha alcanzado a la tecnología de seguridad (por ejemplo, un intento de la fuerza bruta para "crack" un certificado SSL para tomar años), o son relativamente fáciles de proteger.

Los navegadores modernos web están configurados para detectar los problemas comunes de certificados y advertir a los usuarios antes de que siquiera se les permite pasar a un sitio web que tiene los problemas potenciales.

Con los problemas de seguridad SSL, al igual que muchos temas de la seguridad en línea, los usuarios actuando en contra de las advertencias, el uso de navegadores o sistemas operativos obsoletos, y actuando en contra de las mejores prácticas (por ejemplo, hacer clic en enlaces en correos electrónicos spam) son los principales problemas que el usuario aumentar vulnerabilidad.

Infracciones más cierto en el sistema, cuando se producen, se suelen resolver en un plazo pequeño a través de actualizaciones automáticas o parches ampliamente disponibles.

La ausencia total de confianza.

Muchos ataques de gama baja se pueden orientar a los consumidores y se basan en tácticas como la mala dirección (teniendo un usuario login.EjemploBanco.hidden-domain.com lugar de login.EjemploBanco.com). Sin embargo, hay un escenario desde el que no cuentan con seguridad integrada completamente disponibles pueden proteger a un consumidor - la falla de una pieza de confianza del sistema de autenticación.

La razón de un sistema de certificación basado en las obras es que se basa en autoridades de certificación (como DigiCert) para afirmar que cualquier persona que obtiene un certificado de EjemploBanco.com realmente posee EjemploBanco.com. Si un usuario malintencionado iba a obtener un certificado auténtico de un sitio web, sería posible falsificar totalmente la interacción en línea con tal perfección que los usuarios nunca se sabe que cada acción estaba siendo vigilado, controlado, catalogado, y posiblemente robados.

El ejemplo del banco parece obvia. Sin embargo, si tenemos en cuenta qué tipo de organización puede tener los recursos necesarios para introducirse en un entorno seguro y totalmente comprometer un sistema de emisión del certificado que es auditado regularmente por motivos de seguridad, los pensamientos se conviertan de típico robo de tarjetas de crédito y hacia un Estado-nación interesada en espiar a las actividades online de sus ciudadanos.

Sitios como Twitter, Facebook, Gmail, etc parece más apto para los objetivos de este segundo tipo de atacante.

Protección contra falla sistémica.

Aunque a lo mejor de nuestro conocimiento de la situación descrita no ha ocurrido nunca a una autoridad de gran confianza de certificados (CA) como DigiCert, las organizaciones menos seguros se han visto comprometidos en diversos grados.

Al menos en un caso de negligencia grave por parte de una CA, sus raíces fueron sacados inmediatamente de todos los navegadores en el descubrimiento de la violación. Una CA sin raíces, en esencia, ya no es una CA. Cualquiera que acceda a un sitio "seguro" con sus certificados a ver señales evidentes de advertencia, como en el imagen de arriba.

En cuanto a lo que un usuario puede hacer, lo más importante es siempre asegurarse de que las actualizaciones automáticas están activadas y manuales se realizan con regularidad para asegurarse de que se ponga al día el sistema operativo y software de navegación puede ayudar a proteger de cualquier ataque que se han detectado.

Aprenda a reconocer los signos visuales de confianza relacionadas con los certificados SSL, tales como el icono del candado SSL y la EV barra de confianza verde.

Los administradores de sistemas pueden ayudar a proteger a sus usuarios mediante la implementación de estándares avanzados de seguridad SSL, tales como los certificados SSL con EV, y el mantenimiento de software de servidor de hasta hasta la fecha.

En DigiCert, vamos a seguir a seguir y poner en práctica nuevos procedimientos para mejorar la seguridad para proteger a nuestros clientes y la comunidad de Internet más como un todo. La seguridad del sistema y los despidos, así como la protección de administrador de base forman parte del marco de infraestructura que nos ha ayudado a proteger contra las violaciones a este punto, y siempre estamos en el proceso de cambiar y actualizar nuestros sistemas para mantenerse por delante de los problemas de seguridad potenciales.