Firefox y su desconfianza hacia los certificados autofirmados

DRosolen,

Las páginas SSL con certificados autofirmados son cada vez menos fiables. Sin embargo, ¿se puede decir que Mozilla Firefox 3.0 ha exagerado un poco este problema?

Navegadores y certificados sin firma

Las herramientas para hacer estos certificados son gratuitas y cualquiera puede hacer un certificado que diga “somos BBVA.net”. Por tanto, ¿cómo se supone que podemos conocer la diferencia? La respuesta está en las autoridades para certificados de confianza. Los navegadores web (y otro tipo de software, como el propio Windows) vienen con una lista de estas autoridades y de sus claves públicas. La idea es que estas autoridades, antes de conceder el certificado a una entidad, comprueben que esa entidad es en realidad la compañía o individuo que dice ser. Es decir, que la autoridad responde de la identidad del poseedor del certificado.

Cuando aparece un certificado, el navegador detecta quién es el que lo firma y si ha sido concedido por una autoridad de confianza. Si es así, todo irá a las mil maravillas. Pero si no, significa que nadie está vigilando esa identidad y las sospechas se multiplican. Como Internet está llena de capas, los autores de navegadores ingratos y malintencionados han decidido que estos certificados se merecen un nivel de escrutinio especial.

Tanto Internet Explorer 7 como Opera 9.51 muestran un mensaje de alarma cada vez que se accede a una de estas páginas. En él se dice que el certificado de la página no es de fiar y que a veces puede ser utilizado para engañar al usuario. Te preguntan si quieres continuar y si dices que sí, te dejan hacerlo. Internet Explorer colorea de rojo la barra de direcciones y escribe: “Error en el certificado”, en la parte derecha.

Firefox 3.0, por el contrario, muestra un mensaje mucho más alarmista, cargado además de connotaciones técnicas. Si el usuario desea continuar, no podrá hacerlo sin antes crear una regla de excepción, un proceso que consta de varios pasos y que está plagado de anuncios de advertencia.

En su blog, Nat Tuck nos habla del daño que está haciendo a Internet esta nueva tendencia. Para ello recurre a la neutralidad que debe imperar en Internet y dice que la política de Mozilla es poco abierta. Tuck asegura conocer los riesgos de entrar en estos sitios y aunque considera acertado poner un mensaje de advertencia “cuando el sitio no está certificado”, no ve bien que se le impida acceder a él si así lo desea. Tuck no parece el tipo de persona asiduo a Internet Explorer, pero en principio parece criticar incluso la política de advertencia menos intrusiva que utiliza el navegador de Microsoft.