24 septiembre 2009

¿Cómo de bien conoces el SSL?


El protocolo SSL lleva un tiempo siendo protagonista de muchas noticias, de muchos estudios, de muchos informes...para su desgracia.

Lo que en un principio se define como protocolo criptográfico para establecer una mayor seguridad en las comunicaciones que se realizan en Internet, finalmente se convierte en un sistema que aparentemente contiene vulnerabilidades que echan por tierra sus principios. Moxie Marlinspike consiguió, gracias a sus investigaciones y posteriores charlas con demostraciones, que el consejo que siempre dábamos a nuestros conocidos de "si ves un candadito abajo, tranquilo, puedes meterte en tu banco que ya estás seguro" no aplicase tanto en la actualidad.

Con el gran debate generado a partir de estas y otras investigaciones, la credibilidad en este sistema comienza a decrecer, y ahí es donde entra en juego el proyecto al que quería referenciar en este post.

Se trata de SSL Labs, una organización que se centra en el estándar SSL. Ofrece una herramienta online para probar la seguridad de nuestras páginas con https, la cual nos dará una puntuación (en base a este documento), recopilaciones de add-ons para el navegador Firefox relacionados con SSL, así como información y noticias sobre todo lo que esté relacionado con este protocolo.







¿Quién está detrás de este proyecto? Ni más ni menos que Ivan Ristić...¿no os suena? Usas modsecurity en tu servidor web Apache? Pues ahora ya sabes el nombre y primer apellido de la persona que está detrás de este módulo.

En definitiva, introduce aquí tu dominio, y comprueba si tu servidor aprueba o suspende el examen. ¿Cuánto habéis sacado? Si suspendes, te aconsejamos que no esperes hasta Febrero, Junio o Septiembre para aprobar.

[+] SSL Labs

4 comments :

Román Ramírez dijo...

Es una buena idea pero, como casi siempre, tiene sus pequeños puntos :)

No comprende de forma correcta el funcionamiento de certificados con wildcard (*.dominio.com).

Aplica diferente criterio a uno con wildcard firmado por una CA típica y a uno autofirmado.

El resultado es confuso (por no decir amarillista), lo que obliga a leer detalles absolutamente irrelevantes.

Pero buena idea, a fin de cuentas.

Zerial dijo...

Lamentablemente la peor vulnerabilidad o falla que puede tener algo como SSL son los propios usuarios.

Puede que implementar SSL si mejora la seguridad y haga que la información viaje cifrada y bla bla ... Cuando practicamos la famosa técnica MiTM e intentamos sniffear sitios con https (por ej: gmail) la gente, al aparecer el mensaje de IE o de FF refiriendose al certificado no seguro, sólo presiona "enter" "enter" "aceptar", las personas lo único que quieren es ingresar a su cuenta y no piensan en los riesgos.

Los bancos o los sitios de correo podrían implementar la mejor técnica d seguridad con el mejor algorítmo de cifrado pero si por detrás de eso no existe la educación hacia el usuario final ... no es muy eficáz.
Les pongo este ejemplo, yo tengo conocimientos en este aspecto, por lo que un certificado SSL para mi significa nada, ese certificado no va a hacer que yo no ingrese mi clave del banco en una página falsa, lo que hará que yo no lo haga va a ser mis conocimientos de detectar páginas de fishing, se entiende? Entonces, el usuario "normal" no va a diferenciar entre una página maligna y una benigna sólo por un certificado, como dije anteriormnente, hace falta educación.

vierito5 dijo...

No va directamente ligado con lo que se habla en este post pero me gusta mucho este enlace donde se desmenuza el inicio de una conexión https
http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html

José A. Guasch dijo...

@vierito5, yo creo que algo si que está ligado :)

Muy interesante!