Firefox y su desconfianza hacia los certificados autofirmados

Si hablamos de este artículo es porque parece haber recibido una gran aceptación en la Web: concretamente, recibió 800 comentarios en un hilo de Slashdot, la mayoría de ellos a favor. En nuestra opinión, la mayoría de las reacciones no han tenido en cuenta que los usuarios, a diferencia de Tuck, no conocen los riesgos y necesitan que se les pare los pies. Incluso aunque sea más “abierto” dar acceso a sitios autofirmados, es mejor que los usuarios estén protegidos, y esa protección es más difícil si no se confía en los que concedieron la certificación.

Las autoridades certificadoras no son tampoco la panacea de la seguridad. Cometen errores de vez en cuando, como dar certificados a autores de malware. En muchos casos, confirmar que el propietario del certificado es quien dice ser no sirve de nada. Por supuesto, si el propietario se llama Paypal, entonces todos sabemos con quién estamos tratando. Pero, ¿qué ocurre si se llama PepeMegaNet, por ejemplo? ¿Quiénes son? ¿Se puede confiar en ellos? Lo que vale de verdad, por tanto, es una certificación autofirmada que diga que el propietario es PayPal. En este caso, la protección anti-phishing puede detectar a los vándalos y avisar al usuario de que hay un problema.

Pero lo que suele ocurrir con los certificados autofirmados es que nadie responde por la identidad. Los autores de los navegadores han decidido que la identidad es sumamente importante y que no puede ser verdaderamente contrastada con un certificado autofirmado. Como Michael Barrett, de PayPal, señala: “en el caso de los certificados autofirmados, es casi imposible encontrar una tecnología capaz de discernir entre un uso legítimo de la firma y uno ilegítimo”.

Esto es totalmente cierto, aunque también hay que tener en cuenta que Firefox se ha pasado un poco de la raya con este asunto. Ellos no sólo te advierten de los peligros de los certificados autofirmados sino que les ponen la zancadilla. Una y otra vez. La decisión de Internet Explorer 7 parece más razonable, sobre todo porque mantiene la advertencia cada vez que utilizas el sitio.

No sería mala idea que Firefox 3.1 se planteara cambiar en este sentido y dejase que el usuario decidiese por sí mismo si quiere seguir adelante o no con los certificados autofirmados.

Page: 1 2 3

DRosolen

Recent Posts

Mirakl Payout integra la tecnología de pago modular de Mangopay

El objetivo es mejorar el registro de vendedores, los procesos "know-your-business", los pagos y el…

2 días ago

Fortinet lanza una solución para la prevención de pérdida de datos

FortiDLP es una herramienta de protección del endpoint nativa en la nube, mejorada con inteligencia…

2 días ago

Se incrementa el impacto de los infostealers

Check Point Software destaca la evolución de Lumma, que ocupa el cuarto lugar en la…

2 días ago

Visibilidad, seguridad y automatización para la nueva realidad híbrida y compleja

Skybox analiza en un evento de Silicon la necesidad de tener una visibilidad completa de…

2 días ago

CrowdStrike anuncia servicios de Red Team que se apoyan en la inteligencia artificial

Promete una defensa proactiva, emulaciones de ataque en escenarios reales y validación de seguridad integral.

2 días ago

Scott Armul liderará las unidades de negocio y el portafolio global de Vertiv

El actual vicepresidente de cuentas estratégicas asumirá su nuevo rol a partir de 2025.

2 días ago