martes, 21 de marzo de 2017

21% de la web aun utiliza certificados con SHA-1



21% de la web aun utiliza certificados con SHA-1




SHA-1 se encuentra al borde de la respiración de su pasado. Pero alguien tiene que notificar a los familiares, debido a una nueva investigación muestra que 1 de cada 5 de los sitios web de todo el mundo siguen utilizando los certificados firmados con los vulnerables algoritmos de control seguro, SHA-1. No es que estas organizaciones no sabían SHA-1 era un problema. Todos los navegadores más importantes están actualmente emitiendo advertencias de seguridad para los visitantes que acceden a sitios inseguros utilizando certificados SHA-1.

¿Sabe usted si sus sitios web todavía utilizan los certificados SHA-1?

Si usted ha estado viviendo en una cueva durante los últimos años, no puede haber oído que SHA-1 está en desuso. Pero SHA-1 es peor que vulnerable. Los recientes ataques de colisión han demostrado que SHA-1 se divide oficialmente. Eso hace que sea aún más desconcertante para aprender que cualquier sitio se basan en SHA-1, por no hablar de un porcentaje sustancial. Sin embargo, parece que el 21% de los sitios web siguen utilizando el explotable SHA-1 algoritmo de hash, según una investigación en más de 33 millones de sitios web visibles públicamente IPv4.

SHA-1 colisiones deberían haber tomado a nadie por sorpresa. Era sólo una cuestión de tiempo hasta que la energía se encontró con el algoritmo SHA-1 de computación. Criptoanalistas comenzó advirtiendo de SHA-1 vulnerabilidad en 2005. Pero no fue hasta febrero de 2017 que teníamos la prueba definitivos en cuando los investigadores de Google y universidades líderes demostraron que el algoritmo de hash criptográfica segura en desuso todavía se utiliza para firmar muchos certificados digitales sitio web puede ser manipulado.
La fijación de este problema parece ser relativamente sencillo. Las organizaciones pueden reducir la vulnerabilidad de inmediato girando a cabo viejos certificados SHA-1 y su sustitución por los certificados de nueva emisión que utilizan SHA-2.

¿Pero si es así forwardard recta, por qué tantas organizaciones siguen utilizando SHA-1?

Es una buena pregunta. Creo que es seguro asumir que ninguna organización dejaría intencionadamente sí abierto a las brechas de seguridad, problemas de cumplimiento, y los cortes que pueden afectar a la seguridad, la disponibilidad, la fiabilidad. Por lo tanto, la explicación debe ser menos obvio.
Sospecho que muchas organizaciones pueden ser simplemente unware que todavía tienen todos los certificados SHA-1 en sus redes, ya que se basan en herramientas autoridad de certificación (CA) para gestionar sus claves y certificados. El problema con este enfoque, sobre todo ahora que los certificados del costo libre y muy bajos están ampliamente disponibles, es que cualquier persona en su organización puede obtener e instalar un certificado que utiliza algoritmos hash débiles e instalarlo en su red.
Kevin Bocek, Venafi vicepresidente de estrategia de seguridad, describe por qué cree que muchas organizaciones se están quedando, "A pesar de que la mayoría de las organizaciones han trabajado duro para emigrar lejos de SHA-1, que no tienen la visibilidad y la automatización necesaria para completar la transición. Hemos visto este problema antes de que las organizaciones tuvieron dificultades para hacer cambios coordinados a las claves y certificados en respuesta a heartbleed, y por desgracia estoy seguro de que vamos a ver de nuevo ".
Aparte de los problemas de vulnerabilidad obvias, SHA-1 también puede perturbar las transacciones web y el tráfico en una variedad de maneras:
Navegadores mostrarán advertencias a los usuarios que el sitio es inseguro, que obliga al usuario a buscar un sitio alternativo.
Los navegadores no mostrarán el "candado verde 'en la línea de dirección para las transacciones HTTPS; consumidores confían en este icono como indicación de que las transacciones en línea son seguras y privadas.
Sitios pueden experimentar problemas de rendimiento; en algunos casos, el acceso a sitios web se encuentre totalmente bloqueado.
¿Sabe usted si los usuarios de su sitio web están viendo las advertencias del navegador, como los que se enumeran a continuación?






¿Cómo pueden los usuarios saber si un sitio web cuenta con la seguridad necesaria?

Las operaciones más comunes son las de compras y pago, correo electrónico, transferencia de datos y el protocolo de inicio de sesión. Los usuarios necesitan saber que los datos están seguros y protegerlos contra el acceso no autorizado. Este es el gran dilema del universo llamado internet, especialmente antes de realizar alguna de estas operaciones en línea.
Estas son algunas de las recomendaciones más básicas que podemos ayudar en concientizar y aprender a trabajar y confiar en un sitio web seguro.
La barra de dirección en color verde si el sitio visitado es con el nombre de la empresa en verde, estamos frente un mayor nivel de control de seguridad, llamado Extended Validación. Es la forma mas fácil de confiar en un sitio web y una manera muy visible de identificarlo.
Candado en la parte izquierda de la barra del navegador. Si no hay un candado, o el símbolo es “roto”, los visitantes sabrán que la compañía no utiliza SSL. En ese caso, si quieres saber más sobre el tipo de certificado adjunto a una página web, haga clic en la pequeña cerradura y aparecerá una ventana emergente que proporciona información acerca de la compañía asociada con el sitio web.
Encontrará un sello de una entidad de certificación SSL, por lo general en la parte inferior de la página web. Las imágenes personalizadas están disponibles, pero la mayoría contienen un candado, “sello de seguridad”, y otros sellos indicando seguridad.
La dirección URL comienza con “https” para indicar que está conectado a través de un servidor seguro. Protocolo de transferencia de hipertexto (HTTP) es un sistema para la transmisión de datos en la web, y la “s” al final es el indicador de seguridad. HTTP era la norma antes de que los sitios web comenzaran a transmitir información confidencial (como datos de tarjetas de crédito).
Adicionalmente les contaremos como es el proceso de certificación para que puedan aprender que no todas las empresas califican para ser certificadas y esta acción solamente busca entregar más seguridad al usuario final.
¿Cómo es el proceso de certificación?
Independientemente del tipo de certificado que se compra, hay dos partes en el proceso de validación que va a suceder, en diversos grados, cada vez que se hace un pedido.
Validación de la empresa: Hay varias partes en el proceso de validación de su empresa. En primer lugar, se verifica que la empresa que solicita un certificado de buena reputación. Esto puede incluir la confirmación de la buena situación y la inscripción en los registros de activos corporativos, así como el fraude, phishing, y las entidades del gobierno limitado y bases de datos contra el terrorismo.
Además, se constata que la organización solicitante de un certificado es, de hecho, la organización a la que el título vaya a serlo. Esto es especialmente cierto con certificados SSL con Extended Validation (EV), Que requieren una serie de verificaciones de identidad amplia.

Validación de dominio: El objetivo de este proceso de validación de dominio es asegurarse de que la persona que solicita un certificado, de hecho, tienen la autoridad para solicitar un certificado para el dominio en cuestión.
La validación de dominio puede incluir correos electrónicos o llamadas de teléfono a la lista de contactos en un dominio de whois record, Así como mensajes de correo electrónico a los valores de las direcciones administrativas en el dominio. Por ejemplo, podríamos enviar un correo electrónico de autorización de administrator@domain.com o webmaster@domain.com, pero no tech@domain.com. En los casos en que se controla un dominio por una parte que no sea la parte que solicita un certificado, los métodos simples están en su lugar para completar rápidamente el proceso de obtener la aprobación para emitir un certificado del propietario del dominio.




Ventajas de certificación SSL.

  • Aumenta la seguridad de tu negocio ya que la información privada que vaya de un ordenador a otro se encuentra encripatada.
  • Aumenta la confianza de tus clientes en ti, los certificados ssl hacen ver a la empresa que pueden depositar sin problemas de posibles robos sus datos ya que van a ser cifrados.
  •  Aumenta el número de ventas gracias a la confianza, a mayor confianza, mayor número de ventas; la repetición y el boca a boca de lo seguro que es te ayudarán a subir las cifras de ventas.
  • Certificas la personalidad de tu empresa ya que demuestras que eres tú, hecho difícil ante el gran número de webs phishing que existen
  • Legitimas tu web porque consigues que una entidad independiente te dé el visto bueno.
  • Eliminas malware de tu web, ya que los certificados ssl escanean el sitio buscando programas dañinos.
  • Aumenta el tráfico de tu web, porque sin virus la página se posiciona orgánicamente mejor en Google, consiguiendo más visitas sin pagar ni un solo peso.
  •  Evitas que los usuarios se vayan cuando van a comprar y tienen que introducir claves privadas, ya que está demostrado que las personas salen del sitio cuando tienen que poner datos privados si no están seguros de que va a haber seguridad
  • No da problemas con los navegadores, ya que funciona perfectamente con el 99 % de los navegadores.
  • Conviertes Internet en una red más segura, porque la seguridad la formamos todos, y si tu web es insegura la incertidumbre entre los usuarios es mayor. Por el contrario, si hay más seguridad, el comercio electrónico aumentará, beneficiando a todo el mundo.


¿Listo para hacer el cambio a HTTPS?

Las pequeñas y medianas empresas que operan con páginas web de comercio electrónico deberán asegurar que las transacciones de pago sean seguras y que impidan la exposición de sus datos. Sin embargo, no solo las empresas que utilizan un portal de comercio electrónico deben certificarse, todos los datos deben ser protegidos. Por ejemplo, hay conexiones que deben establecerse de forma segura, es el caso de personas empleados, alumnos que necesitan iniciar sesión en alguna plataforma de acceso o para buscar ciertos archivos. Asimismo, toda la información de cualquier compañía, sin importar su tamaño, debería ser protegida.
En definitiva, tener la confianza del cliente para que realice compras o se subscriba a tu sitio necesitarás una certificación SSL, el dinero es una inversión más que deberás valorar. Si pides a tu potencial cliente elegir entre una empresa que cuenta con certificación SSL y otra que no lo está certificada ¿por qué elegiría una que expone su información personal?

 Para terminar, informo que Seguridad America lleva más de 5 años como líder en seguridad SSL con más del 58% del mercado EV y cuenta con especialistas en seguridad con hasta 10 años de experiencia en el mercado, confié en uno de ellos antes de tomar alguna decisión que definirá el éxito de su sitio web.

Si necesita de mayor información de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com


Fuente http://blog.segu-info.com.ar/2017/03/21-de-las-web-utiliza-certificados-con.html


No hay comentarios.:

Publicar un comentario

Populares