Peligros de los certificados SSL/TLS validados por el dominio

TEMAS DE SEGURIDAD

Peligros de los certificados SSL/TLS validados por el dominio

Los certificados SSL no solo cifran datos , sino que también autentican sitios web. Se trata de una función importante y fundamental, ya que genera confianza. Los visitantes del sitio web ven el candado SSL o HTTPS y creen que el sitio es auténtico.

¿Qué es la validación de dominio?

En la lucha contra sitios falsos, el phishing o suplantación de identidad y el fraude, resultan esenciales los certificados SSL de confianza. Es por esto que los certificados validados por el dominio pueden ser peligrosos. Las Autoridades de Certificación (CA) emitirán un certificado validado por el dominio a cualquier persona que figure como contacto de administrador de dominio en el registro WHOIS de un nombre de dominio. Simplemente envían un correo electrónico a la dirección de correo electrónico de contacto y nada más.

Es el nivel más bajo de autenticación utilizado para validar certificados SSL. Los niveles superiores incluyen certificados validados por la organización y extendidos que requieren verificaciones más detalladas.

Autenticación de SSL/TLS

¿Por qué pueden ser peligrosos?

El problema con la validación de dominio es que los criminales de Internet pueden obtener fácilmente certificados SSL para sitios de phishing con errores de ortografía de un nombre de dominio legítimo. Por ejemplo, si estuvieran apuntando a BancoUno.com podrían registrar la dirección banco1.com y obtener un certificado SSL validado por el dominio para ese sitio, mediante una cuenta de webmail gratuita.

Cuando logren engañar a un usuario común para que visite el sitio de phishing, este ve el reconfortante https y el candado SSL y no necesariamente se da cuenta de la dirección mal escrita.

Cómo detectar un certificado validado por el dominio

En realidad, es muy difícil saber si un certificado está validado por el dominio. Por lo tanto, los usuarios tienen la misma probabilidad de confiar en su sitio como en el sitio de phishing clonado, y cuando descubren que sus datos han sido robados, también pueden hacerle responsable.

Las distintas autoridades de certificación (CA) varían en la forma exacta en que comprueban los propietarios de sitios web, pero los certificados de validación extendida (Extended Validation) tienen niveles de autenticación más altos y lo muestran a sus visitantes poniendo en verde la barra de direcciones (consulte ejemplos de los navegadores más populares a continuación).

La alternativa de confianza

A medida que se multiplican los sitios falsos que utilizan certificados SSL obtenidos fácilmente, los propietarios de sitios web no pueden darse el lujo de arriesgarse con certificados validados por el dominio. Especialmente si el sitio pide información de usuario particularmente confidencial o personal, los usuarios probablemente quieran más seguridad.

Elegir un certificado de una autoridad de certificación acreditada, como DigiCert, y seleccionar un método de validación de alta seguridad, como Extended Validation, ofrece una alternativa más confiable. Y ciertamente será mejor para su negocio que la alternativa.

Para obtener más información sobre SSL, desde cómo funciona hasta cómo configurar los servidores, descargue ya mismo nuestro recurso interactivo, SSL Explained.

Tres mitos sobre la seguridad en la web revelados

Conozca los hechos

Con las muchas falsedades y mitos que rodean la seguridad de los sitios web, ¿cómo descubrir la verdad para que poder elegir la protección adecuada para mantener su negocio, sitio web y los clientes protegidos?

Leer Tres mitos sobre la seguridad en la web revelados

Servicio de autoridad de certificación privada de Symantec

Servicio de autoridad de certificación de privada de DigiCert (CA privada)

DigiCert Private CA es una solución accesible que permite mejorar la seguridad y la administración de los certificados de las intranets privadas sin dejar de cumplir las normativas de la empresa y del sector. Evite los certificados caducados: emita, administre y haga el seguimiento de sus certificados de intranet privados aprovechando la visibilidad y las alertas que ofrece la consola DigiCert PKI Platform.

Seguir leyendo

¿Qué es SSL con EV?

Los certificados TLS/SSL de DigiCert con Extended Validation (EV) ofrecen soluciones que permiten a las empresas y los consumidores comunicarse y efectuar transacciones en línea con confianza.

Seguir leyendo

Certificados de cliente y certificados de servidor: ¿qué diferencia hay?

Si hablamos de PKI o certificados de cliente, a mucha gente le vienen a la cabeza imágenes de empresas protegiendo activamente y completando las transacciones en línea de sus clientes. Sin embargo, dichos certificados se encuentran en muchos aspectos de nuestra vida cotidiana: cuando iniciamos sesión en una VPN o cuando utilizamos una tarjeta bancaria en un cajero, una tarjeta para acceder a un edificio o una tarjeta inteligente Oyster para el transporte público de Londres.

Seguir leyendo