Firefox y su desconfianza hacia los certificados autofirmados

Navegadores y certificados sin firma

Las herramientas para hacer estos certificados son gratuitas y cualquiera puede hacer un certificado que diga “somos BBVA.net”. Por tanto, ¿cómo se supone que podemos conocer la diferencia? La respuesta está en las autoridades para certificados de confianza. Los navegadores web (y otro tipo de software, como el propio Windows) vienen con una lista de estas autoridades y de sus claves públicas. La idea es que estas autoridades, antes de conceder el certificado a una entidad, comprueben que esa entidad es en realidad la compañía o individuo que dice ser. Es decir, que la autoridad responde de la identidad del poseedor del certificado.

Cuando aparece un certificado, el navegador detecta quién es el que lo firma y si ha sido concedido por una autoridad de confianza. Si es así, todo irá a las mil maravillas. Pero si no, significa que nadie está vigilando esa identidad y las sospechas se multiplican. Como Internet está llena de capas, los autores de navegadores ingratos y malintencionados han decidido que estos certificados se merecen un nivel de escrutinio especial.

Tanto Internet Explorer 7 como Opera 9.51 muestran un mensaje de alarma cada vez que se accede a una de estas páginas. En él se dice que el certificado de la página no es de fiar y que a veces puede ser utilizado para engañar al usuario. Te preguntan si quieres continuar y si dices que sí, te dejan hacerlo. Internet Explorer colorea de rojo la barra de direcciones y escribe: “Error en el certificado”, en la parte derecha.

Firefox 3.0, por el contrario, muestra un mensaje mucho más alarmista, cargado además de connotaciones técnicas. Si el usuario desea continuar, no podrá hacerlo sin antes crear una regla de excepción, un proceso que consta de varios pasos y que está plagado de anuncios de advertencia.

En su blog, Nat Tuck nos habla del daño que está haciendo a Internet esta nueva tendencia. Para ello recurre a la neutralidad que debe imperar en Internet y dice que la política de Mozilla es poco abierta. Tuck asegura conocer los riesgos de entrar en estos sitios y aunque considera acertado poner un mensaje de advertencia “cuando el sitio no está certificado”, no ve bien que se le impida acceder a él si así lo desea. Tuck no parece el tipo de persona asiduo a Internet Explorer, pero en principio parece criticar incluso la política de advertencia menos intrusiva que utiliza el navegador de Microsoft.

Page: 1 2 3

DRosolen

Recent Posts

Denodo Platorm 9.1 estrena asistente de inteligencia artificial

También incluye un SDK open source para potencia el desarrollo de aplicaciones y agentes, especialmente…

2 días ago

El 77 % del flujo de spam por Black Friday es una estafa

Los ciberdelincuentes recurren a ofertas que no son ciertas, tarjetas regalo y sorteos para robar…

2 días ago

Así es el smartphone nubia Z70 Ultra

Entre sus características incluye una pantalla de ultra alta resolución 1.5K y lente dinámica biónica.

2 días ago

Silicon Pulse: Titulares de la semana #33

Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…

2 días ago

Los ingresos por productos de Snowflake superan los 900 millones de dólares

De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…

2 días ago

Check Point: 2024, récord en ciberataques con la IA como enemiga y aliada

“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…

2 días ago