Peligros de los certificados SSL/TLS validados por el dominio

TEMAS DE SEGURIDAD

Peligros de los certificados SSL/TLS validados por el dominio

Los certificados SSL no solo cifran datos, sino que también autentican sitios web. Se trata de una función importante y fundamental, ya que genera confianza. Los visitantes del sitio web ven el candado SSL o HTTPS y creen que el sitio web es el auténtico.

¿Qué es la validación de dominio?

En la lucha contra los sitios web falsos, el phishing o la suplantación de identidad y el fraude, resultan esenciales los certificados SSL de confianza. Por eso, los certificados validados por el dominio pueden ser peligrosos. Las Autoridades de Certificación (CA) emitirán un certificado validado por el dominio a cualquier persona que figure como contacto de administrador de dominio en el registro WHOIS de un nombre de dominio. Simplemente envían un correo electrónico a la dirección de correo electrónico de contacto y ya está.

Es el nivel más bajo de autenticación utilizado para validar certificados SSL. Los niveles superiores incluyen certificados validados por la organización y extendidos que requieren verificaciones más detalladas.

Autenticación de SSL/TLS

¿Por qué pueden ser peligrosos?

El problema con la validación de dominio es que los delincuentes de Internet pueden obtener fácilmente certificados SSL para sitios de phishing con errores de ortografía de un nombre de dominio legítimo. Por ejemplo, si su objetivo era el BancoUno.com, podrían registrar la dirección banco1.com y obtener un certificado SSL validado por el dominio para ese sitio web, mediante una cuenta de webmail gratuita.

Cuando logran embaucar a un usuario común para que visite el sitio de phishing, este ve el reconfortante https y el candado SSL y no necesariamente se da cuenta de la dirección mal escrita.

Cómo detectar un certificado validado por el dominio

En realidad, es muy difícil saber si un certificado está validado por el dominio. Por lo tanto, los usuarios tienen la misma probabilidad de confiar en su sitio como en el sitio de phishing clonado, y cuando descubren que sus datos han sido robados, también pueden hacerle responsable.

Las distintas autoridades de certificación (CA) varían en la forma exacta en que comprueban los propietarios de sitios web, pero los certificados de validación extendida (Extended Validation) tienen niveles de autenticación más altos y lo muestran a sus visitantes poniendo en verde la barra de direcciones (consulte ejemplos de los navegadores más populares a continuación).

La alternativa de confianza

A medida que se multiplican los sitios web falsos que utilizan certificados SSL obtenidos fácilmente, los propietarios de sitios web no pueden darse el lujo de arriesgarse con certificados validados por el dominio. Si el sitio pide información de usuario particularmente confidencial o personal, los usuarios probablemente quieran más seguridad.

Elegir un certificado de una autoridad de certificación acreditada, como DigiCert, y seleccionar un método de validación de alta seguridad, como Extended Validation, ofrece una alternativa más fiable. Y ciertamente será mejor para su negocio que la alternativa.

Para obtener más información sobre SSL, desde cómo funciona hasta cómo configurar los servidores, descargue hoy mismo nuestro recurso interactivo, SSL Explained.

Desmontamos tres mitos sobre la seguridad web

Conozca los hechos

Ante la gran cantidad de falsedades y mitos que rodean la seguridad de los sitios web, ¿cómo descubrir la verdad para poder elegir la protección adecuada para mantener su negocio, sitio web y clientes protegidos?

LEER DESMONTAMOS TRES MITOS SOBRE LA SEGURIDAD WEB

Servicio de autoridad de certificación privada de Symantec

Servicio de autoridad de certificación privada de DigiCert (CA privada)

DigiCert Private CA es una solución asequible que permite mejorar la seguridad y la administración de los certificados de las intranets privadas sin dejar de cumplir las normativas de la empresa y del sector. Evite los certificados caducados: emita, administre y rastree instantáneamente sus certificados de intranet privados aprovechando la visibilidad y las alertas que ofrece la consola DigiCert Managed PKI para SSL.

Seguir leyendo

¿Qué es SSL con EV?

Los certificados TLS/SSL de DigiCert con Extended Validation (EV) ofrecen soluciones que permiten a las empresas y a los consumidores comunicarse y efectuar transacciones online con confianza.

Seguir leyendo

Certificados de cliente y certificados de servidor: ¿qué diferencia hay?

Si hablamos de PKI o certificados de cliente, a muchas personas le vienen a la cabeza imágenes de empresas protegiendo activamente y completando las transacciones online de sus clientes. Sin embargo, dichos certificados se encuentran en muchos aspectos de nuestra vida cotidiana: cuando iniciamos sesión en una VPN o cuando utilizamos una tarjeta bancaria en un cajero, una tarjeta para acceder a un edificio o una tarjeta inteligente Oyster para el transporte público de Londres, por poner algún ejemplo.

Seguir leyendo