Cómo los navegadores verifican las identidades de los sitios web y se protegen contra los impostores

¿Alguna vez ha notado que su navegador a veces muestra el nombre de la organización de un sitio web en un sitio web cifrado? Esta es una señal de que el sitio web tiene un certificado de validación extendido, lo que indica que se ha verificado la identidad del sitio web.

Los certificados EV no proporcionan ningún nivel de cifrado adicional; en cambio, un certificado EV indica que se ha realizado una verificación exhaustiva de la identidad del sitio web. Los certificados SSL estándar proporcionan muy poca verificación de la identidad de un sitio web.

Cómo muestran los navegadores los certificados de validación extendida

En un sitio web encriptado que no usa un certificado de validación extendido, Firefox dice que el sitio web está «administrado por (desconocido)».

Chrome no muestra nada de manera diferente y dice que la identidad del sitio web fue verificada por la autoridad de certificación que emitió el certificado del sitio web.

Cuando estás conectado a un sitio web que usa un certificado de validación extendido, Firefox te dice que lo ejecuta una organización específica. Según este cuadro de diálogo, VeriSign ha verificado que estamos conectados al sitio web real de PayPal, que es administrado por PayPal, Inc.

Cuando estás conectado a un sitio que usa un certificado EV en Chrome, el nombre de la organización aparece en tu barra de direcciones. El cuadro de diálogo de información nos dice que VeriSign ha verificado la identidad de PayPal mediante un certificado de validación ampliado.

El problema con los certificados SSL

Hace años, las autoridades de certificación solían verificar la identidad de un sitio web antes de emitir un certificado. La autoridad certificadora verificaría que la empresa que solicita el certificado esté registrada, llamará al número de teléfono y verificará que la empresa sea una operación legítima que coincida con el sitio web.

Finalmente, las autoridades de certificación comenzaron a ofrecer certificados «solo de dominio». Estos eran más baratos, ya que era menos trabajo para la autoridad de certificación verificar rápidamente que el solicitante poseía un dominio específico (sitio web).

Los phishers finalmente comenzaron a aprovechar esto. Un phisher podría registrar el dominio paypall.com y comprar un certificado de dominio exclusivo. Cuando un usuario se conectaba a paypall.com, el navegador del usuario mostraba el icono de candado estándar, proporcionando una falsa sensación de seguridad. Los navegadores no mostraban la diferencia entre un certificado de dominio exclusivo y un certificado que implicaba una verificación más exhaustiva de la identidad del sitio web.

La confianza del público en las autoridades de certificación para verificar los sitios web ha disminuido; este es solo un ejemplo de las autoridades de certificación que no cumplen con la debida diligencia. En 2011, Electronic Frontier Foundation descubrió que las autoridades de certificación habían emitido más de 2000 certificados para “localhost”, un nombre que siempre se refiere a su computadora actual. ( Fuente ) En las manos equivocadas, dicho certificado podría facilitar los ataques de intermediario.

En qué se diferencian los certificados de validación extendida

Un certificado EV indica que una autoridad certificadora ha verificado que el sitio web está dirigido por una organización específica. Por ejemplo, si un phisher intentó obtener un certificado EV para paypall.com, la solicitud sería rechazada.

A diferencia de los certificados SSL estándar, solo las autoridades de certificación que pasan una auditoría independiente pueden emitir certificados EV. La Autoridad de Certificación / Foro de Navegadores (CA / Foro de Navegadores), una organización voluntaria de autoridades de certificación y proveedores de navegadores como Mozilla, Google, Apple y Microsoft, emite pautas estrictas que todas las autoridades de certificación que emiten certificados de validación extendida deben seguir. Idealmente, esto evita que las autoridades de certificación se involucren en otra «carrera hacia el fondo», donde utilizan prácticas de verificación laxas para ofrecer certificados más baratos.

En resumen, las directrices exigen que las autoridades de certificación verifiquen que la organización que solicita el certificado esté registrada oficialmente, que sea propietaria del dominio en cuestión y que la persona que solicita el certificado esté actuando en nombre de la organización. Esto implica verificar los registros gubernamentales, contactar al propietario del dominio y contactar a la organización para verificar que la persona que solicita el certificado trabaja para la organización.

Por el contrario, la verificación de un certificado de dominio solo puede implicar solo un vistazo a los registros whois del dominio para verificar que el registrante está utilizando la misma información. La emisión de certificados para dominios como «localhost» implica que algunas autoridades de certificación ni siquiera están haciendo tanta verificación. Los certificados EV son, fundamentalmente, un intento de restaurar la confianza pública en las autoridades de certificación y restaurar su papel de guardianes contra los impostores.

responroot

Entradas recientes

Steamlytics: La nueva herramienta imprescindible para los gamers de Steam

  El mundo del gaming ha experimentado un crecimiento exponencial en los últimos años. La…

1 año hace

Cuándo reemplazar su antigua unidad flash USB

Stokkete/Shutterstock.com ¿Sigue utilizando una unidad flash USB obsoleta para almacenar sus archivos? ¿Por qué no…

3 años hace

¿Qué es una pantalla Nano IPS?

LG Los fabricantes siempre intentan mejorar el rendimiento de imagen de los monitores. Como resultado,…

3 años hace

10 formas de jugar con un presupuesto bajo (o nulo)

Patty Chan/Shutterstock.com Si cree en lo que ve en las redes sociales, puede pensar en…

3 años hace

¿Demasiadas suscripciones? Aquí está cómo empezar a cortarlos

Seksan.TH/Shutterstock.com Los servicios de suscripción como Netflix, Game Pass y Spotify nos permiten consumir tantas…

3 años hace

Cómo configurar la puerta de enlace predeterminada en Linux

fatmawati achmad zaenuri/Shutterstock El acceso a Internet, oa cualquier otra red, se rige por la…

3 años hace