DNS AYUDARÁ A ELIMINAR LOS CERTIFICADOS SSL FALSOS
DNS AYUDARÁ A
ELIMINAR LOS CERTIFICADOS SSL FALSOS
Con la introducción de SSL y TLS,
la navegación web ha sido cada vez más segura gracias a que los certificados
pueden verificar si una web a la que nos estamos conectando es o no segura,
pudiendo estar tranquilos de que la información que introduzcamos va a estar a
salvo. Cada vez más páginas cuentan con HTTPS, y hacerlo cada vez más seguro es
una tarea primordial.
Certificados en un registro de
DNS Por ello, en 2013 el registro de DNS en la Certificación Authority
Authorization (CAA) se convirtió en un estándar, pero no tuvo mucha repercusión
porque las autoridades emisoras de certificados (CA) no tenían la obligación de
atenerse a sus reglas. Este registro de DNS permite al dueño de un dominio ver
el listado de CA que pueden emitir certificados SSL o TLS para un dominio.
Gracias a este método, se evitan muchos casos de emisión de un certificado no
autorizado. Esto puede ocurrir tanto de manera accidental como en el caso de
que haya algún trabajador corrupto. Bajo las reglas actuales de la industria
creadas por el CA/Browser Forum, las CA tienen que validar las peticiones de
certificados SSL que provienen de propios dueños de los dominios o de quien
controle dichos dominios. Este proceso de verificación normalmente se realiza
de manera automática a través de un registro que el dueño del dominio sube un
registro TXT con las DNS, o utiliza códigos de autorización para demostrar que
realmente él tiene el control sobre el dominio. El problema de estos métodos de
verificación es que un hacker puede tomar el control de una web y hacerse pasar
por el dueño real del dominio y obtener un certificado de cualquier autoridad.
Posteriormente, un certificado puede usarse para ataques man-in-the-middle o
para redirigir a los usuarios a páginas de phishing para robarles los datos.
Lucha contra los certificados falsos Para limitar esto, el registro de la CAA
buscará limitar quien puede emitir certificados a un dominio. Por ejemplo, el
siguiente registro quiere decir que Google autoriza a Symantec para emitirlos
para su dominio principal.
google.com. 86400 IN CAA 0 issue “symantec.com”
En marzo se aprobó que este
registro sea obligatorio a partir del 8 de septiembre, y las autoridades de
emisión de certificados que no cumplan con esto, estarán violando las leyes de
la industria y se arriesgarán a recibir sanciones. Además, los dueños de los
dominios deberán especificar una dirección de email o una URL donde la
autoridad de emisión de certificados pueda reportar problemas de emisión que
vayan en contra de la política de la CAA. Por ejemplo, si una autoridad recibe
una solicitud de un certificado para un dominio que ya tiene un registro que
autoriza a otra autoridad diferente a emitir certificados, la primera autoridad
deberá reportar actividad sospechosa en ese email o dirección especificada. La
alerta llegará al dueño del dominio de que alguien está intentando obtener un
certificado sin su autorización. Aunque esto no sea una manera definitiva de
acabar con los certificados falsos, sí que constituye una nueva capa de defensa
frente a estos.
¿Cómo pueden los usuarios saber
si un sitio web cuenta con la seguridad necesaria?
Las operaciones más comunes son
las de compras y pago, correo electrónico, transferencia de datos y el
protocolo de inicio de sesión. Los usuarios necesitan saber que los datos están
seguros y protegerlos contra el acceso no autorizado. Este es el gran dilema
del universo llamado internet, especialmente antes de realizar alguna de estas
operaciones en línea.
Estas son algunas de las
recomendaciones más básicas que podemos ayudar en concientizar y aprender a trabajar y confiar en un sitio web seguro.
La barra de dirección en color
verde si el sitio visitado es con el nombre de la empresa en verde, estamos
frente un mayor nivel de control de seguridad, llamado Extended Validación. Es
la forma más fácil de confiar en un sitio web y una manera muy visible de
identificarlo.
Candado en la parte izquierda de
la barra del navegador. Si no hay un candado, o el símbolo es “roto”, los
visitantes sabrán que la compañía no utiliza SSL. En ese caso, si quieres saber
más sobre el tipo de certificado adjunto a una página web, haga clic en la
pequeña cerradura y aparecerá una ventana emergente que proporciona información
acerca de la compañía asociada con el sitio web.
Encontrará un sello de una
entidad de certificación SSL, por lo general en la parte inferior de la página
web. Las imágenes personalizadas están disponibles, pero la mayoría contienen
un candado, “sello de seguridad”, y otros sellos indicando seguridad.
La dirección URL comienza con
“https” para indicar que está conectado a través de un servidor seguro.
Protocolo de transferencia de hipertexto (HTTP) es un sistema para la
transmisión de datos en la web, y la “s” al final es el indicador de seguridad.
HTTP era la norma antes de que los sitios web comenzaran a transmitir
información confidencial (como datos de tarjetas de crédito).
Adicionalmente les contaremos
como es el proceso de certificación para que puedan aprender que no todas las
empresas califican para ser certificadas y esta acción solamente busca entregar
más seguridad al usuario final.
¿Cómo es el proceso de
certificación?
Independientemente del tipo de
certificado que se compra, hay dos partes en el proceso de validación que va a
suceder, en diversos grados, cada vez que se hace un pedido.
Validación de la empresa: Hay
varias partes en el proceso de validación de su empresa. En primer lugar, se
verifica que la empresa que solicita un certificado de buena reputación. Esto
puede incluir la confirmación de la buena situación y la inscripción en los
registros de activos corporativos, así como el fraude, phishing, y las
entidades del gobierno limitado y bases de datos contra el terrorismo.
Además, se constata que la
organización solicitante de un certificado es, de hecho, la organización a la
que el título vaya a serlo. Esto es especialmente cierto con certificados SSL
con Extended Validation (EV), Que requieren una serie de verificaciones de
identidad amplia.
Validación de dominio: El
objetivo de este proceso de validación de dominio es asegurarse de que la
persona que solicita un certificado, de hecho, tienen la autoridad para
solicitar un certificado para el dominio en cuestión.
La validación de dominio puede
incluir correos electrónicos o llamadas de teléfono a la lista de contactos en
un dominio de whois record, Así como mensajes de correo electrónico a los
valores de las direcciones administrativas en el dominio. Por ejemplo,
podríamos enviar un correo electrónico de autorización de
administrator@domain.com o webmaster@domain.com, pero no tech@domain.com. En
los casos en que se controla un dominio por una parte que no sea la parte que
solicita un certificado, los métodos simples están en su lugar para completar
rápidamente el proceso de obtener la aprobación para emitir un certificado del
propietario del dominio.
Ventajas de certificación SSL.
Aumenta la seguridad de tu
negocio ya que la información privada que vaya de un ordenador a otro se
encuentra encripatada
Aumenta la confianza de tus
clientes en ti, los certificados ssl hacen ver a la empresa que pueden
depositar sin problemas de posibles robos sus datos ya que van a ser cifrados
Aumenta el número de ventas
gracias a la confianza, a mayor confianza, mayor número de ventas; la
repetición y el boca a boca de lo seguro que es te ayudarán a subir las cifras
de ventas
Certificas la personalidad de tu
empresa ya que demuestras que eres tú, hecho difícil ante el gran número de
webs phishing que existen
Legitimas tu web porque consigues
que una entidad independiente te dé el visto bueno
Eliminas malware de tu web, ya
que los certificados ssl escanean el sitio buscando programas dañinos
Aumenta el tráfico de tu web,
porque sin virus la página se posiciona orgánicamente mejor en Google,
consiguiendo más visitas sin pagar ni un solo peso
Evitas que los usuarios se vayan
cuando van a comprar y tienen que introducir claves privadas, ya que está
demostrado que las personas salen del sitio cuando tienen que poner datos
privados si no están seguros de que va a haber seguridad
No da problemas con los
navegadores, ya que funciona perfectamente con el 99 % de los navegadores
Conviertes Internet en una red
más segura, porque la seguridad la formamos todos, y si tu web es insegura la
incertidumbre entre los usuarios es mayor. Por el contrario, si hay más
seguridad, el comercio electrónico aumentará, beneficiando a todo el mundo.
¿Listo para hacer el cambio a
HTTPS?
Las pequeñas y medianas empresas
que operan con páginas web de comercio electrónico deberán asegurar que las
transacciones de pago sean seguras y que impidan la exposición de sus datos.
Sin embargo, no solo las empresas que utilizan un portal de comercio
electrónico deben certificarse, todos los datos deben ser protegidos. Por
ejemplo, hay conexiones que deben establecerse de forma segura, es el caso de
personas empleados, alumnos que necesitan iniciar sesión en alguna plataforma
de acceso o para buscar ciertos archivos. Asimismo, toda la información de cualquier
compañía, sin importar su tamaño, debería ser protegida.
En definitiva, tener la confianza
del cliente para que realice compras o se subscriba a tu sitio necesitarás una
certificación SSL, el dinero es una inversión más que deberás valorar. Si pides
a tu potencial cliente elegir entre una empresa que cuenta con certificación
SSL y otra que no lo está certificada ¿por qué elegiría una que expone su
información personal?
Para terminar, informo que
Seguridad America lleva más de 5 años como líder en seguridad SSL con más del
58% del mercado EV y cuenta con especialistas en seguridad con hasta 10 años de
experiencia en el mercado, confié en uno de ellos antes de tomar alguna
decisión que definirá el éxito de su sitio web.
Si necesita de mayor información
de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros
de Seguridad America o con sus expertos comerciales que lo asesoraran en la
mejor opción para su modelo de negocio.
Contáctanos en:
Mail: ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitemos en:
www.seguridadamerica.com
Fuente: https://www.adslzone.net
Comentarios
Publicar un comentario