- ENTRADA 031 -

Que no te la jueguen. Verificar certificados web


¿Pero quién demonios es esa mujer?

Se hace llamar África de las Heras, Señor.


Desde la adopción del estandar https, las conexiones se efectúan con una capa de cifrado SSL/TLS. Este sistema utiliza el sistema de claves que se intercambian entre servidor y cliente. Pero cualquier ciberdelincuente podría clonar una web para engañarnos, por eso hay que autenticar los servidores, y eso se hace a través de los certificados SSL, que contienen la clave pública y los nombres de dominio en los que se pueden usar.


¿Podría falsearse el certificado?, por supuesto, y por eso entran en juego las CA, o "Certificate Authority" que son entidades emisoras de certificados SSL firmados, que sólo dan certificados sobre un dominio a su propietario y nos asegura que el servidor es quien dice ser.


Verificar un certificado


En la mayoría de webs esto no es necesario, pero en webs bancarias o de servicios donde se maneja dinero o datos sensibles, sí deberías revisar las conexiones. El phishing cada vez es más sofisticado, por lo que verificar el certificado nos dejará al margen de ataques phishing que quieran hacernos. Los pasos son los siguientes:


NOTA. Usaré Firefox, pero en Chrome y Edge es similar.



NOTA: Es importante fijarse en la caducidad. Si tenemos guardado un certificado caducado, no corresponderá con el renovado, y eso no significa que sea incorrecto. Es importante también no modificar estos archivos.


Hay quien se hace un listado apuntando las huellas digitales SHA-256 que aparecen en la misma pestaña del punto 4, pero es más lioso desde mi punto de vista.


¿Engorroso?, en absoluto, solo lleva unos segundos todo el proceso, y cuando lo tienes por la mano ni te enteras.



Tags #certificado #navegador #verificación



◄ Listado de noticias

◄◄ Inicio



/blog/