certificados ssl inseguros

Desventajas en la implementación de algunos certificados SSL


Grandes sitios como el de LPI o webs dedicadas a la seguridad como Cybersecuritynews ignoran las nuevas tendencias, en este caso lógicas, para encriptar la interacción entre visitantes y sus webs.
Desde Linux Latino America, les avisamos del descuido recordándoles las opciones gratuitas como Letsencrypt o sslforfree.
Su persistencia (y falta de respuesta) nos hizo investigar el motivo, o al menos, intentar desarrollar una explicación ya que no hay material hasta ahora que explique las desventajas, en materia de seguridad (hay otros aspectos como marketing o recursos), de un sitio con SSL frente  a uno que no lo posee.
Consultando con un amigo sysadmin de uno de los mejores proveedores de hosting de España comenzamos a rompernos la cabeza:

En primer lugar sabemos que hay varios niveles de certificados, algunos cuyos requisitos incluyen la confirmación oficial del ente (Validación Extendida).

Validación Extendida:

Para muchas personas las Validación Extendida no representa más que un lujo adicional e innecesario que no vemos en las mayores plataformas como facebook ni siquiera, algo que definitivamente podría valerle un juicio por no hacer el máximo por proteger a sus usuarios: dicha medida, más que un lujo innecesario prevendría ataques de phishing contra sus usuarios. Millones de hackeos mediante phishing pudieron haber sido evitados con una validación extendida.
A continuación pueden ver la diferencia entre Red Hat y Linux Institute, ambos poseen SSL, sin embargo un ataque de phishing contra usuarios de Red Hat sería menos fácil ya que el tipo de certificado de Red Hat garantiza la legitimidad de la url.

Hoy en día (en verdad no es nuevo)  las URLs pueden traducirse en caracteres de casi todos los idiomas como לינוקס.co.il (Linux en hebreo) y también podemos usar caracteres ASCII para suplantar caracteres convencionales y confundir a las persona, por ejemplo, si  clickean en linux.bz será diferente a lìnux.bz aunque la diferencia no es obvia  para el navegante, por eso me explicaron en Hostingtg que si bien regalan SSL gratis a sus clientes, recomiendan comprar la validación extendida.


Desventaja adicional del SSL standard frente al phishing

Otra desventaja para los usuarios, y que  puede explicar la actitud de LPI (LPI si aplica ssl formularios) o de sitios como Cybersecuritynews es la dificultad de los navegadores para identificar el ataque.
Usando la herramienta setoolkit por ejemplo, podemos levantar dos sitios de phishing, uno con SSL y otro sin certificado. Veremos que el navegador es capaz de detectar el ataque inmediatamente en el sitio desencriptado, y si bien finalmente tal vez  podrá detectar el phishing en la versión encriptada, esto tardará más, probablemente permitiendo el ataque dependiendo del tiempo de ejecución.

Y si bien desde este año Google impuso la instalación de SSL como una ventaja que pocos quieren perder,  simultáneamente dificulta a los diferentes navegadores detectar esta clase de ataques (ya que los webmasters se rigen, generalmente, por las normas de Google).
Aún así esos grandes no tardarán en resolver este problema y también valdría considerar TLS con niveles de encriptación superior aunque un atacante podría reducirlo a SSL interrumpiendo el handshake.

Facebook Comments