Muchas veces se recomienda a los usuarios que estén atentos a los certificados digitales de los sitios web que frecuentan, para validar la autenticidad de los contenidos y la legitimidad de la propiedad de lo que aparece en pantalla. ¿Cuántas veces su banco o entidad de comercio le ha dicho que no introduzca sus datos si no ve el candadito en la pantalla?
El consejo de «mire el candado de las páginas» es muy frecuente, ya que, pese a que no asegura al 100% la legitimidad de los contenidos, desde luego sí que cubre un espectro importante en la resolución de la incertidumbre que puede existir a la hora de dirimir si una página es de origen legítimo, o si por el contrario, es un intento de fraude perteneciente a un phisher.
El documento se titula Using digital certificates to identify web site owners and protect against phishing, lo que podría traducirse a Usando certificados digitales para identificar propietarios de sitios web y protegerlos contra el phishing. Es un documento escrito en un lenguaje muy accesible, en el que se explican las bondades de los sitios https, aquellos cuyos contenidos se ofrecen como seguros, y cuyas condiciones de seguridad vienen expresadas por la aparición del conocido candado.
Los certificados digitales pueden ser una fuente muy fiable de información acerca de la autoría y propiedad de un sitio web. Los usuarios con niveles bajos de conocimientos sobre protocolo http y https, en circunstancias normales, no saben interpretar un certificado digital, y por tanto, su utilidad queda minimizada, o incluso anulada, ya que para la inmensa mayoría, el candado y sus contenidos son algo ininteligible.
Este paper pretendre precisamente eso: explicar de un modo más accesible, al usuario con pocas nociones, el proceso de firma digital de sitios web, el protocolo seguro https y sus ventajas e inconvenientes.
Si yo fuera responsable de seguridad o de TI de una entidad bancaria, sugeriría seriamente traducir éste documento y se lo ofrecería a mis clientes. No me cabe duda.
No conozco a nadie, incluyendo a profesionales de la seguridad informática, que mire la información de los certificados.
Buenas ;)
Hombre, incluso hay quién sostiene que el certificado digital de no vale de nada, pero bueno, para obtener un grado de certeza sobre la legitimidad de un sitio no están mal :)
Tal y como comentamos en Hispasec, por ejemplo, ante el XSS de poco vale el certificado, pero no deja de ser un elemento a considerar. Yo de todos modos creo que no es malo mirar los certificados para obtener un poco más de certeza.
Soy de los que creo que si se observasen, pese a no tener 100% de seguridad en que los phishings se erradicarían, gran parte de los mismos, no construídos por XSS, serían anulados.
Un saludo,