La identidad importa… ¿Por qué Secure no necesariamente significa seguro?

SSL

¡La encriptación es genial! La encriptación es necesaria. Simplemente no podemos realizar negocios en línea sin encriptación. Como consumidores, muchos de nosotros hemos sido entrenados para reconocer cómo se ve un sitio web con seguridad HTTPS y para confiar únicamente en aquellos que muestran esas características distintivas. Todo esto está bien, excepto: ¿un sitio web con HTTPS es un sitio realmente seguro? ¿La encriptación o cifrado es suficiente?

Los servicios gratuitos de certificación SSL/TLS, como Let’s Encrypt, han hecho un gran trabajo al predicar la necesidad del cifrado. Let’s Encrypt ha hecho que sea extremadamente fácil obtener un Certificado de Validación de Dominio (DV), un Certificado SSL/TLS básico para habilitar el cifrado o encriptación en un sitio web. Los certificados DV, ya sean gratuitos o pagados, benefician hoy a millones de sitios web. Además, Google comenzó a marcar a los sitios sin HTTPS como no seguros. Y el panorama empresarial en línea también se ha dado cuenta de la necesidad de encriptar todo. De hecho, el tráfico de Internet cifrado ha superado recientemente el volumen de tráfico no encriptado.

Entonces, que existan más sitios web encriptados es algo bueno … ¿no? Bueno, tal vez, tal vez no. Debido a la facilidad con la que Let’s Encrypt ha dado para obtener un certificado DV básico, cualquiera puede adquirir rápidamente un certificado SSL/TLS para cualquier tipo de sitio web. No hay nada que impida que alguien use un certificado DV de Let’s Encrypt o cualquier otra Autoridad de certificación (CA) para que su sitio se vea seguro. Pero, volviendo a la pregunta anterior, ¿un sitio web con HTTPS es un sitio realmente seguro?

Recientemente, ha habido mucha prensa sobre cómo el phishing y otros sitios maliciosos usan los Certificados DV emitidos por Let’s Encrypt para parecer legítimos y seguros. Es decir, que superan la prueba visual de seguridad que hemos sido entrenados para identificar, esto debido a que tu verás que Google ha marcado el sitio como seguro y que el símbolo del candado también es evidente en otros navegadores. A primera vista, estos sitios de phishing parecen confiables. […] Ahora, realmente debes pensar y ver dos veces si ese sitio de PayPal, tu banco o una tienda en línea es en realidad un sitio legítimo.

Ejemplo sitio de PayPal Falso
Ejemplo de un sitio web falso (phishing) de PayPal con un certificado DV gratuito

¿Cómo puede saber con seguridad si un sitio web es seguro y confiable?

Los Certificados de Validación de Dominio (DV) son solo un tipo de certificados SSL/TLS. La mayoría de las Autoridades de Certificación (CA) ofrecen certificados DV. Al igual que con todos los SSL / TLS, un certificado DV encripta la comunicación entre un navegador y un servidor web y el sitio mostrará activo el protocolo HTTPS. Por lo general, son de bajo costo (o gratuitos) y fáciles de adquirir, ya que solo necesita probar la propiedad del dominio. Eso significa que no hay nada en el certificado que indique que un certificado emitido en www.miempresa.com en realidad sea operado por Mi Empresa.

Ejemplo de un Certificado DV
Ejemplo de un Certificado DV

Incluso con la mejor de las intenciones de hacer que Internet sea seguro, las personas malas han aprovechado el servicio gratuito de Let’s Encrypt y Let’s Encrypt ahora es desafortunadamente una víctima de actividad maliciosa […]. El argumento es quién tiene la culpa, la CA para emitir el certificado o el navegador para permitir que el sitio se presente como seguro, pero ese es un debate que no vamos a abordar aquí. Lo que destacaremos hoy es la importancia de la identidad en el certificado y lo que eso significa.

La Importancia de la Identidad

Aun cuando un sitio este encriptado, eso no significa que sea 100% seguro. Cuando combinas el cifrado o encriptación con identidad, se vuelve mucho más difícil falsificar un sitio. Ademas del Certificado DV que hemos mencionado anteriormente en este articulo, existen otros dos tipos de certificados que vinculan la identidad con el dominio, los Certificados de Validación Extendida (EV) y los Certificados de Validación de Organización (OV). Para adquirir Certificados EV y OV, la CA emisora verifica el derecho del solicitante a usar un dominio específico, además de que lleva a cabo una investigación de la organización para probar la identidad del propietario.

Los Certificados EV SSL proporcionan el nivel de encriptación más fuerte disponible y permiten a la organización detrás de un sitio web presentar su propia identidad verificada al visitante del sitio web. Los Certificados EV SSL ofrecen una garantía más sólida de que el propietario del sitio web aprobó un proceso de verificación de identidad completo y estandarizado a nivel mundial definido en las directrices para Certificados EV SSL (un conjunto de principios y políticas de verificación ratificados por el CA / Browser Forum). El proceso de verificación de identidad de un Certificado EV requiere que el solicitante demuestre derechos exclusivos para usar un dominio, confirme su existencia legal, operacional y física, y que demuestre que la entidad ha autorizado la emisión del certificado.

Ejemplo de un Certificado EV
Ejemplo de un Certificado EV

Aunque los certificados OV requieren tambien pasar una prueba de identidad, no son tan deseables como los certificados EV ya que esta información de identidad no se muestra directamente en la barra de direcciones y reciben el mismo tratamiento de navegador (por ejemplo, el candado estándar y https) que un certificado DV. La diferencia entre un certificado OV y un certificado DV es que la información adicional de la compañía vetada se muestra al visitante al hacer clic en el certificado, lo que le da visibilidad mejorada sobre quién está detrás del sitio y la confianza asociada.

¿Quién debería usar Certificados EV SSL?

Los certificados EV SSL se deben usar en todas las aplicaciones que requieren aseguramiento de identidad, confianza visible y fuerte encriptación. Los sitios web de alto perfil a menudo destinados a ataques de phishing, como grandes marcas, bancos o instituciones financieras, deben usar Certificados EV SSL para todos los sitios web públicos, pero cualquier sitio web que recopile datos, con formularios de inicio de sesión o pagos en línea también puede beneficiarse de la mayor confianza brindada por esta clase más alta de SSL / TLS.

Los certificados EV SSL también permiten que las marcas menos conocidas usen un nivel de confianza estandarizado para competir contra las marcas más populares que ya están establecidas en Internet. El comercio digital se basa en la confianza y los certificados EV brindan el nivel  más alto de seguridad para un sitio web.

¿Cómo hacer la elección correcta del certificado SSL / TLS?

Al elegir el Certificado SSL / TLS correcto para tu (s) sitio (s), debes considerar algunos factores. ¿Es importante tu marca y tu reputación? ¿Estás recopilando información personal? ¿Almacenas  datos confidenciales o transacciones financieras? Si respondiste «sí» a cualquiera de esas preguntas, debes pensar en un Certificado EV para proporcionar el nivel de confianza que tus visitantes / clientes necesitan. Ahora, si simplemente proporcionas información, como un sitio de blog o una web informativa, un certificado DV puede ser todo lo que necesitas. En todo caso, recuerda que un certificado OV proporcionará un mayor nivel de confianza que un DV si lo necesitas.

Fuente: https://www.globalsign.com/en/blog/identity-matters-ssl-secure-vs-safe-website/

Related Articles

Los hechos sobre los Certificados SSL Gratuitos

Cuando se trata de proteger tu reputación y ganar confianza en línea, invertir en el certificado SSL correcto vale cada centavo. A partir de 2016, los certificados SSL gratuitos estuvieron disponibles y han sido una fuerza positiva para acercarnos a una web totalmente encriptada.