Importantes preguntas acerca de OpenID después de las últimas vulnerabilidades
Algunas cuestiones de seguridad indican que OpenID es un método de autenticación poco fiable. Y seguirá siendo así a menos que algunas cosas cambien pronto.
La revocación de certificados también juega un papel importante en la firma de código. Steve Jobs reveló recientemente que el iPhone contrasta periódicamente con Apple si alguna aplicación instalada en el teléfono ha sido alterada. El mecanismo real que permite que esto funcione debe ser una lista de revocación de certificados (lo hemos comprobado hace poco y los documentos de certificación de Apple no dicen nada acerca de OCSP).
La última consecuencia de todo esto, como afirman Laurie y Clayton, es que la comprobación de revocaciones debe haber sido establecida como un procedimiento estándar para que la tecnología OpenID sea fiable.
Hace mucho tiempo, en una columna acerca de OpenID, especulábamos acerca de la posibilidad de que las partes confidentes podían no querer confiar en sólo algunos proveedores OpenID. Quizás, los sistemas de reputación y acreditación podrían desarrollar y auditar a los proveedores para garantizar que sus prácticas son las correctas. Aunque hay algunos problemas en este modelo de negocio, es posible entender por dónde van los tiros. Incluso aunque OpenID tenga algún tipo de salvación, su vulnerabilidad ante estos importantes problemas implica que ya no podamos confiar en nadie.
Los autores han reparado en algunas de las inquietudes de la comunidad señalando claramente a OpenID, mientras que muchos otros servicios basados en SSL son probablemente igual de vulnerables. Lo han escogido debido a que han identificado vulnerabilidades específicas, y no sólo teorías. Desafortunadamente, probablemente aparecerán más próximamente.