08 junio 2009

Certificados digitales con validación extendida

En nuestro post del lunes pasado, 'Fraude online con firma digital y ssl' uno de los puntos que mas impactó a la gente es lo poco confiables que resultan los certificados digitales empleados para el SSL y lo extremadamente fáciles de conseguir que resultan.

En algunos comentarios se decía que, si esos certificados ofrecen entre muy poca o nada confiabilidad, ¿que hacer?. En ese momento no quise responder rápida y escuetamente y he preferido escribir un post dedicado al tema para hablar de los certificados digitales con validación extendida.

Desde hace algún tiempo la industria del comercio electrónico ya sabía lo absurdo y poco confiable que resulta el proceso habitual para obtener un certificado SSL que, si bien para un uso menor pueden ser aptos, no resultan confiables en entornos de comercio electrónico o para transacciones bancarias.

De ahí que nacieran lo que se conoce como certificados con validación extendida (Extended Validation) que, para empezar, no pueden ser obtenidos automáticamente rellenando un formulario. Entre otras cosas se requiere identificar a una persona de contacto que pertenezca a la organización y confirmar la existencia legal de la organización que solicita el certificado. Posteriormente la entidad certificadora deberá verificar estos datos.

Adicionalmente, la entidad certificadora debe cumplir los exigentes requisitos de WEBTRUST para convertirse en entidad acreditada (doy FE por mi propia experiencia que las auditorias WebTrust son bastante exhaustivas)

[+] Verisign tiene bastante información en castellano sobre este tipo de certificados

Otro punto a tener en cuenta es que, un certificado SSL normal suele costar unos 250 dolares al año, un certificado EV puede llegar a los 900

Para distinguir entre certificados SSl 'normales' y los EV en los navegadores, podemos ver una barra en verde a la izquierda de la barra de navegación en caso de Firefox


Y en el caso de Internet Explorer se pone completamente en verde la barra de navegación


Ahora viene mi pregunta tendenciosa: Yo, solo he visto este tipo de certificados en los procesos de login de Facebook, Hotmail y en unos pocos sitios americanos mas ¿ Alguien los ha visto en alguna organización gubernamental o Banco no Americano / Inglés?

16 comments :

Adrian dijo...

Pues te dejo uno de caja española, de la CAI, lo tienen desde hace ya un tiempecito:

https://caionline.cai.es

Un saludo.

Popotxo dijo...

Personalmente creo que lo de extended securty de Verisign es un sacacuartos :-)
¿Algún website con ES? Sólo conozco este, el banco sueco SEB: https://pintan.seb-bank.de

Anónimo dijo...

Hola,

Por ejemplo, Bancos o Cajas que usan un EV pueden ser:
www.unicaja.es
www.cajamar.es
Aun no entiendo como hay otras entidades que no usan este tipo de certificados.

trigemino dijo...

@popotxo: ¿por que dices que es un sacacuartos?


https://www.cajaespana.net

Anónimo dijo...

Yo el primer sitio español que vi con él fue https://www.juegosonce.com/ la web que tiene la Once para vender los cupones por internet.

Me pareció curioso teniendo en cuenta lo cutre que es la web en general, y el problemilla que tienen con las Ñs en el certificado.

Yo propongo otro ejercicio complicado: bancos que usan SPF.

Anónimo dijo...

Hay gente en España que usa EV, lamentablemente no toda la que debería ser, ejemplo claro el de muchos bancos, desde "el santander" a ING, que siguen usando certificados sin EV.

Ejemplos de los que lo usan: www.cam.es o www.bankinter.es

Por mi parte no creo que sea un "sacacuartos", debería ser algo obligatorio en según que escenarios.

Y desde luego lo que no debería ser posible es obtener un certificado "confiable" para un navegador actual rellenando un formulario.

IMHO, el verdadero problema estriba en que los navegadores actuales, por defecto, acepten como confiables certificados que han sido firmados por un 3º confiable, sin ningún tipo de validación de la identidad.

En definitiva, la seguridad de certificados sin EV debería equipararse a la seguridad de un certificado autofirmado, y emitirse un mensaje CLARO, alertando del hecho de que la identidad no puede ser verificada, y solicitando que el usuario acepte esa web.

Pedro Sánchez dijo...

Colegas, yo puedo hablar por estas:

https://caionline.cai.es
https://carnet.cajarioja.es
https://www.caixasabadell.net
https://www.lacajadecanarias.es

Todas ellas disponen de Extended Validation

sølrαc dijo...

Otros que SÍ lo tienen:
* Bankinter https://www.bankinter.com/
* Barclays https://www.barclays.es/
* Banco Caixa Geral https://bcaixanet-particulares.bancocaixageral.es/

Hay muchos otros que NO lo tienen pero prefiero no decir cuales, solo adjunto la lista de instituciones financieras que figura en el BdE http://www.bde.es/infoest/ifm/if_es.htm.

PD: No tengo nada que ver con las entidades anteriormente indicadas, solo he revisado algunas de las que me acordaba.

Ayak dijo...

Juas! y yo que creía que se habían pasado con el favicon los del Banco Pastor.

www.oficinadirecta.com

El que no lo tiene y es el segundo banco de España es el BBVA. Manda huevos me fui por las comisiones y ahora tengo otro motivo por el que alegrarme de dejarlo.

Yago Jesus dijo...

Gracias por los comentarios, lo cierto es que los bancos con los que trabajo normalmente (y algunos otros que ya habéis citado) no tienen este tipo de certificados. Es muy revelador ver que las cajas llevan la delantera en este tema y se han pasado a EV

Anónimo dijo...

La verdad es que no tenía ni idea de este tema. Muchas gracias por por abrirme los ojos ;p.

Por cierto, en IE8 no me identificaba los certificados con validación extendida hasta que he dado con que si tienes deshabilitada la opción Comprobar la revocación de certificados del servidor en el apartado Seguridad de las Opciones avanzadas en Opciones de Internet te los trata como certificados normales.

Pablo Ruiz (Pci) dijo...

Hombre, nombres no te puedo dar.. pero en el pasado mas de una y mas de dos organizaciones estatales (mas bien autonómicas) de por aquí nos han llegado a preguntar a que proveedor deberían comprarle los EV.

No he mirado nunca si llegaron a comprarlos.. pero si recuerdo que se me han quejado de lo caros que eran... por lo tanto ;)..

Por otro lado, tb se de un entidad autonómica que quería pasar el proceso de webtrust para poder generar EVs... Con eso, como dice el chiste.. "te lo digo to!"

;)

Anónimo dijo...

El estado debería ser el encargado de suministrar certificados válidos gratis a las empresas.

Como va gastarse una pyme 900€ por un certificado...

Pedro Sánchez dijo...

Colegas, yo puedo hablar por estas:

https://caionline.cai.es
https://carnet.cajarioja.es
https://www.caixasabadell.net
https://www.lacajadecanarias.es

Todas ellas disponen de Extended Validation

Anonymous dijo...

Hola,

Por ejemplo, Bancos o Cajas que usan un EV pueden ser:
www.unicaja.es
www.cajamar.es
Aun no entiendo como hay otras entidades que no usan este tipo de certificados.

Invitado dijo...

¡hola! buscando información he encontrado este post. La web del ayuntamiento de Donostia - San Sebastián a la hora de pedir su tarjeta ciudadana también utiliza el EV, lo cojonudo es que por defecto la conexión es sobre http normalito y si añades la s, se securiza, manda huevos...
Me gusta el blog :D