Advertencia del IE 6 de certificado digital no fiable
El certificado digital es una de las piezas más confusas del entramado criptográfico que nos asiste mientras navegamos por Internet, garantizando la seguridad de nuestras comunicaciones con el mundo exterior. En este contexto, seguridad significa confidencialidad, integridad y autenticidad, entre otras cosas. Es decir, que nadie excepto el destinatario puede ver lo que yo envío o recibo, que nadie puede modificarlo sin que me de cuenta, y que nadie suplanta la identidad de ninguna de las partes.
La confusión viene porque es realmente difícil entender el significado de los conceptos que conforman el certificado digital. En el mundo real, cuando pago en un comercio con mi tarjeta VISA, me piden el DNI (o deberían pedírmelo). El DNI es mi certificado digital, y con él demuestro que soy el titular de la tarjeta. Además, el DNI es fiable, porque lo emite el Cuerpo Nacional de Policía. Probablemente, si presento mi carné de socio del polideportivo, no causaré el mismo efecto, y me rechacen la transacción.
Esto que resulta tan simple en la vida real, en Internet es una pesadilla. Conceptos como firma digital, autoridad de certificación, lista de revocación o autoridad raíz resultan poco comprensibles, por estar totalmente alejados del mundo tangible que todos conocemos. Sin embargo, al problema de entender la tecnología se suma la forma en que se usa, y el modo en que las aplicaciones muestran la información a los usuarios.
Los diferentes navegadores han ido modificando de versión en versión los mensajes de aviso que dan cuando algo falla en la comprobación de los certificados digitales (es decir, cuando el DNI que está presentando la persona con la que queremos realizar una transacción no parece fiable). Las versiones 5 y 6 del Internet Explorer, muy utilizadas aún, muestran un cuadro de diálogo con 3 apartados. El primero informa sobre la confianza que genera el certificado. El segundo advierte si el certificado está caducado. El tercero confirma si el certificado se ha emitido a nombre de quien lo está presentando. Un ejemplo típico de mensaje confuso sería este:
“The security certificate was issued by a company you have not chosen to trust. View the certificate to determine wether you want to trust the certifying authority.”
Que en la versión en español sería algo así:
“El certificado de seguridad fue emitido por una compañía en la que no confías. Revisa el certificado para determinar si quieres confiar en la autoridad de certificación.”
Esta advertencia tiene como objeto prevenir de un posible ataque de tipo man in the middle, en el que un tercero intercepta la comunicación y se hace pasar por una de las partes, con objeto de obtener información o modificar el contenido del mensaje. ¿Realmente podría alguien entender el riesgo que existe, sopesarlo, y tomar una decisión con conocimiento de causa, a partir de la información que muestra el navegador? Yo creo sinceramente que no.
La versión 7 del IE, y la versión 3 del Firefox, han actualizado los mensajes, para que sea más difícil saltárselos, y para que provoquen cierto miedo en el usuario. La información que se da sobre el problema sigue siendo confusa, pero se indica que el posible motivo es la intercepción de la comunicación, y la suplantación de identidad. Esto debería bastar para que si la página web de un banco nos devuelve este aviso del navegador, cortemos la comunicación.
Sin embargo, existe un fenómeno que debilita la seguridad del esquema de certificación. Es habitual que los servidores de Internet utilicen certificados digitales autofirmados, para reducir costes (se evita pagar a la pertinente Autoridad de Certificación). Estos certificados hacen saltar las advertencias de los navegadores, porque no pueden validarse contra una autoridad de confianza. Como resultado, el usuario se acostumbra a ver falsas advertencias de peligro, y termina por hacer caso omiso y continuar navegando sin fijarse en los detalles. El efecto de la sobrecarga de mensajes es peligroso.
El certificado digital es una pieza clave de la seguridad de Internet. Deberíamos prestar mucha más atención a su significado, y usarlo sólo para aquello para lo que fue concebido. Los certificados autofirmados son, sin duda, una mala implementación del concepto de certificación.
Entradas relacionadas