es.phhsnews.com


es.phhsnews.com / Cómo los navegadores verifican las identidades del sitio web y lo protegen contra los impostores

Cómo los navegadores verifican las identidades del sitio web y lo protegen contra los impostores


¿Alguna vez ha notado que su navegador a veces muestra el nombre de una organización de un sitio web en un sitio web cifrado? Esto es una señal de que el sitio web tiene un certificado de validación extendido, que indica que la identidad del sitio web ha sido verificada.

Los certificados EV no proporcionan ninguna fortaleza de cifrado adicional; en cambio, un certificado EV indica que la verificación extensa de la identidad del sitio web lugar tomado. Los certificados SSL estándar proporcionan muy poca verificación de la identidad de un sitio web.

Cómo los navegadores muestran certificados de validación extendida

Firefox dice que el sitio web está "dirigido por (desconocido) en un sitio web cifrado que no usa un certificado de validación extendido . "

Chrome no muestra nada diferente y dice que la identidad del sitio web fue verificada por la autoridad certificadora que emitió el certificado del sitio web.

Cuando estás conectado a un sitio web que usa un certificado de validación extendido, Firefox dice usted está dirigido por una organización específica. Según este diálogo, VeriSign ha verificado que estamos conectados al sitio web real de PayPal, que es operado por PayPal, Inc.

Cuando está conectado a un sitio que usa un certificado EV en Chrome, aparece el nombre de la organización en tu barra de direcciones. El diálogo de información nos dice que VeriSign verificó la identidad de PayPal utilizando un certificado de validación extendido.

El problema con los certificados SSL

Hace años, las autoridades de certificación utilizaron para verificar la identidad de un sitio web antes de emitir un certificado. La autoridad certificadora verificará que la empresa que solicita el certificado esté registrada, llame al número de teléfono y verifique que el negocio sea una operación legítima que coincida con el sitio web.

Eventualmente, las autoridades certificadoras comenzaron a ofrecer certificados "solo de dominio". Estos eran más baratos, ya que era menos trabajo para la autoridad de certificación comprobar rápidamente que el solicitante poseía un dominio específico (sitio web).

Phishers finalmente comenzó a tomar ventaja de esto. Un phisher podría registrar el dominio paypall.com y comprar un certificado de solo dominio. Cuando un usuario se conecta a paypall.com, el navegador del usuario muestra el ícono de bloqueo estándar, lo que proporciona una falsa sensación de seguridad. Los navegadores no mostraron la diferencia entre un certificado de solo dominio y un certificado que implicaba una verificación más exhaustiva de la identidad del sitio web.

La confianza pública en las autoridades de certificación para verificar sitios web ha disminuido: este es solo un ejemplo de las autoridades de certificación que no hacer su debida diligencia En 2011, Electronic Frontier Foundation descubrió que las autoridades de certificación habían emitido más de 2000 certificados para "localhost", un nombre que siempre se refiere a su computadora actual. (Fuente) En las manos equivocadas, tal certificado podría facilitar los ataques de hombre en el medio.

Cómo los certificados de validación extendida son diferentes

Un certificado EV indica que una autoridad de certificación ha verificado que el sitio web se ejecuta por una organización específica. Por ejemplo, si un phisher intenta obtener un certificado EV para paypall.com, la solicitud sería rechazada.

A diferencia de los certificados SSL estándar, solo las autoridades de certificación que pasan una auditoría independiente pueden emitir certificados EV. La Autoridad de Certificación / Foro de Navegador (CA / Browser Forum), una organización voluntaria de autoridades de certificación y vendedores de navegadores tales como Mozilla, Google, Apple y Microsoft emite directrices estrictas que deben seguir todas las autoridades de certificación que expiden certificados de validación extendida. Esto idealmente evita que las autoridades de certificación participen en otra "carrera hacia abajo", donde usan prácticas de verificación laxas para ofrecer certificados más baratos.

En resumen, las directrices exigen que las autoridades de certificación verifiquen que la organización que solicita el certificado esté oficialmente registrada. que posee el dominio en cuestión y que la persona que solicita el certificado actúa en nombre de la organización. Esto implica verificar los registros del gobierno, ponerse en contacto con el propietario del dominio y ponerse en contacto con la organización para verificar que la persona que solicita el certificado funcione para la organización.

Por el contrario, una verificación de certificado solo de dominio solo podría incluir una ojeada a los registros de whois del dominio para verificar que el registratario está usando la misma información. La emisión de certificados para dominios como "localhost" implica que algunas autoridades de certificación ni siquiera están haciendo tanta verificación. Los certificados EV son, fundamentalmente, un intento de restablecer la confianza pública en las autoridades de certificación y restaurar su papel como guardianes contra los impostores.


¿Debería deshabilitar el archivo de página si mi computadora tiene mucha RAM?

¿Debería deshabilitar el archivo de página si mi computadora tiene mucha RAM?

Si tiene una computadora con una gran cantidad de RAM, ¿podría obtener algún beneficio al deshabilitar el archivo de la página o ¿Deberías irte lo suficientemente bien solo? Las Preguntas y Respuestas SuperUser de hoy discuten el tema para ayudar a satisfacer la curiosidad del lector. La sesión de preguntas y respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios de preguntas y respuestas impulsada por la comunidad.

(how-to)

Cómo administrar los permisos de la aplicación en su iPhone o iPad

Cómo administrar los permisos de la aplicación en su iPhone o iPad

Apple ha agregado un sistema de permisos de aplicaciones cada vez más sofisticado para iOS a lo largo de los años. Depende de usted si una aplicación tiene acceso a todo, desde los sensores e información personal de su dispositivo hasta notificaciones y datos móviles. La primera vez que una aplicación quiere usar algo que requiere permiso, tiene que preguntarle.

(how-to)