lunes, 17 de abril de 2017

DNS AYUDARÁ A ELIMINAR LOS CERTIFICADOS SSL FALSOS


DNS AYUDARÁ A ELIMINAR LOS CERTIFICADOS SSL FALSOS



Con la introducción de SSL y TLS, la navegación web ha sido cada vez más segura gracias a que los certificados pueden verificar si una web a la que nos estamos conectando es o no segura, pudiendo estar tranquilos de que la información que introduzcamos va a estar a salvo. Cada vez más páginas cuentan con HTTPS, y hacerlo cada vez más seguro es una tarea primordial.

Certificados en un registro de DNS Por ello, en 2013 el registro de DNS en la Certificación Authority Authorization (CAA) se convirtió en un estándar, pero no tuvo mucha repercusión porque las autoridades emisoras de certificados (CA) no tenían la obligación de atenerse a sus reglas. Este registro de DNS permite al dueño de un dominio ver el listado de CA que pueden emitir certificados SSL o TLS para un dominio. Gracias a este método, se evitan muchos casos de emisión de un certificado no autorizado. Esto puede ocurrir tanto de manera accidental como en el caso de que haya algún trabajador corrupto. Bajo las reglas actuales de la industria creadas por el CA/Browser Forum, las CA tienen que validar las peticiones de certificados SSL que provienen de propios dueños de los dominios o de quien controle dichos dominios. Este proceso de verificación normalmente se realiza de manera automática a través de un registro que el dueño del dominio sube un registro TXT con las DNS, o utiliza códigos de autorización para demostrar que realmente él tiene el control sobre el dominio. El problema de estos métodos de verificación es que un hacker puede tomar el control de una web y hacerse pasar por el dueño real del dominio y obtener un certificado de cualquier autoridad. Posteriormente, un certificado puede usarse para ataques man-in-the-middle o para redirigir a los usuarios a páginas de phishing para robarles los datos. Lucha contra los certificados falsos Para limitar esto, el registro de la CAA buscará limitar quien puede emitir certificados a un dominio. Por ejemplo, el siguiente registro quiere decir que Google autoriza a Symantec para emitirlos para su dominio principal.
 google.com. 86400 IN CAA 0 issue “symantec.com”

En marzo se aprobó que este registro sea obligatorio a partir del 8 de septiembre, y las autoridades de emisión de certificados que no cumplan con esto, estarán violando las leyes de la industria y se arriesgarán a recibir sanciones. Además, los dueños de los dominios deberán especificar una dirección de email o una URL donde la autoridad de emisión de certificados pueda reportar problemas de emisión que vayan en contra de la política de la CAA. Por ejemplo, si una autoridad recibe una solicitud de un certificado para un dominio que ya tiene un registro que autoriza a otra autoridad diferente a emitir certificados, la primera autoridad deberá reportar actividad sospechosa en ese email o dirección especificada. La alerta llegará al dueño del dominio de que alguien está intentando obtener un certificado sin su autorización. Aunque esto no sea una manera definitiva de acabar con los certificados falsos, sí que constituye una nueva capa de defensa frente a estos.

¿Cómo pueden los usuarios saber si un sitio web cuenta con la seguridad necesaria?
Las operaciones más comunes son las de compras y pago, correo electrónico, transferencia de datos y el protocolo de inicio de sesión. Los usuarios necesitan saber que los datos están seguros y protegerlos contra el acceso no autorizado. Este es el gran dilema del universo llamado internet, especialmente antes de realizar alguna de estas operaciones en línea.
Estas son algunas de las recomendaciones más básicas que podemos ayudar en concientizar y aprender  a trabajar y confiar en un sitio web seguro.
La barra de dirección en color verde si el sitio visitado es con el nombre de la empresa en verde, estamos frente un mayor nivel de control de seguridad, llamado Extended Validación. Es la forma más fácil de confiar en un sitio web y una manera muy visible de identificarlo.
Candado en la parte izquierda de la barra del navegador. Si no hay un candado, o el símbolo es “roto”, los visitantes sabrán que la compañía no utiliza SSL. En ese caso, si quieres saber más sobre el tipo de certificado adjunto a una página web, haga clic en la pequeña cerradura y aparecerá una ventana emergente que proporciona información acerca de la compañía asociada con el sitio web.
Encontrará un sello de una entidad de certificación SSL, por lo general en la parte inferior de la página web. Las imágenes personalizadas están disponibles, pero la mayoría contienen un candado, “sello de seguridad”, y otros sellos indicando seguridad.
La dirección URL comienza con “https” para indicar que está conectado a través de un servidor seguro. Protocolo de transferencia de hipertexto (HTTP) es un sistema para la transmisión de datos en la web, y la “s” al final es el indicador de seguridad. HTTP era la norma antes de que los sitios web comenzaran a transmitir información confidencial (como datos de tarjetas de crédito).
Adicionalmente les contaremos como es el proceso de certificación para que puedan aprender que no todas las empresas califican para ser certificadas y esta acción solamente busca entregar más seguridad al usuario final.
¿Cómo es el proceso de certificación?
Independientemente del tipo de certificado que se compra, hay dos partes en el proceso de validación que va a suceder, en diversos grados, cada vez que se hace un pedido.
Validación de la empresa: Hay varias partes en el proceso de validación de su empresa. En primer lugar, se verifica que la empresa que solicita un certificado de buena reputación. Esto puede incluir la confirmación de la buena situación y la inscripción en los registros de activos corporativos, así como el fraude, phishing, y las entidades del gobierno limitado y bases de datos contra el terrorismo.
Además, se constata que la organización solicitante de un certificado es, de hecho, la organización a la que el título vaya a serlo. Esto es especialmente cierto con certificados SSL con Extended Validation (EV), Que requieren una serie de verificaciones de identidad amplia.

Validación de dominio: El objetivo de este proceso de validación de dominio es asegurarse de que la persona que solicita un certificado, de hecho, tienen la autoridad para solicitar un certificado para el dominio en cuestión.
La validación de dominio puede incluir correos electrónicos o llamadas de teléfono a la lista de contactos en un dominio de whois record, Así como mensajes de correo electrónico a los valores de las direcciones administrativas en el dominio. Por ejemplo, podríamos enviar un correo electrónico de autorización de administrator@domain.com o webmaster@domain.com, pero no tech@domain.com. En los casos en que se controla un dominio por una parte que no sea la parte que solicita un certificado, los métodos simples están en su lugar para completar rápidamente el proceso de obtener la aprobación para emitir un certificado del propietario del dominio.

Ventajas de certificación SSL.


Aumenta la seguridad de tu negocio ya que la información privada que vaya de un ordenador a otro se encuentra encripatada
Aumenta la confianza de tus clientes en ti, los certificados ssl hacen ver a la empresa que pueden depositar sin problemas de posibles robos sus datos ya que van a ser cifrados
Aumenta el número de ventas gracias a la confianza, a mayor confianza, mayor número de ventas; la repetición y el boca a boca de lo seguro que es te ayudarán a subir las cifras de ventas
Certificas la personalidad de tu empresa ya que demuestras que eres tú, hecho difícil ante el gran número de webs phishing que existen
Legitimas tu web porque consigues que una entidad independiente te dé el visto bueno
Eliminas malware de tu web, ya que los certificados ssl escanean el sitio buscando programas dañinos
Aumenta el tráfico de tu web, porque sin virus la página se posiciona orgánicamente mejor en Google, consiguiendo más visitas sin pagar ni un solo peso
Evitas que los usuarios se vayan cuando van a comprar y tienen que introducir claves privadas, ya que está demostrado que las personas salen del sitio cuando tienen que poner datos privados si no están seguros de que va a haber seguridad
No da problemas con los navegadores, ya que funciona perfectamente con el 99 % de los navegadores
Conviertes Internet en una red más segura, porque la seguridad la formamos todos, y si tu web es insegura la incertidumbre entre los usuarios es mayor. Por el contrario, si hay más seguridad, el comercio electrónico aumentará, beneficiando a todo el mundo.

¿Listo para hacer el cambio a HTTPS?

Las pequeñas y medianas empresas que operan con páginas web de comercio electrónico deberán asegurar que las transacciones de pago sean seguras y que impidan la exposición de sus datos. Sin embargo, no solo las empresas que utilizan un portal de comercio electrónico deben certificarse, todos los datos deben ser protegidos. Por ejemplo, hay conexiones que deben establecerse de forma segura, es el caso de personas empleados, alumnos que necesitan iniciar sesión en alguna plataforma de acceso o para buscar ciertos archivos. Asimismo, toda la información de cualquier compañía, sin importar su tamaño, debería ser protegida.

En definitiva, tener la confianza del cliente para que realice compras o se subscriba a tu sitio necesitarás una certificación SSL, el dinero es una inversión más que deberás valorar. Si pides a tu potencial cliente elegir entre una empresa que cuenta con certificación SSL y otra que no lo está certificada ¿por qué elegiría una que expone su información personal?

Para terminar, informo que Seguridad America lleva más de 5 años como líder en seguridad SSL con más del 58% del mercado EV y cuenta con especialistas en seguridad con hasta 10 años de experiencia en el mercado, confié en uno de ellos antes de tomar alguna decisión que definirá el éxito de su sitio web.

Si necesita de mayor información de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros de Seguridad America o con sus expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com


Fuente: https://www.adslzone.net


No hay comentarios.:

Publicar un comentario

Populares