- ENTRADA 031 -
Que no te la jueguen. Verificar certificados web
¿Pero quién demonios es esa mujer?
Se hace llamar África de las Heras, Señor.
Desde la adopción del estandar https, las conexiones se efectúan con una capa de cifrado SSL/TLS. Este sistema utiliza el sistema de claves que se intercambian entre servidor y cliente. Pero cualquier ciberdelincuente podría clonar una web para engañarnos, por eso hay que autenticar los servidores, y eso se hace a través de los certificados SSL, que contienen la clave pública y los nombres de dominio en los que se pueden usar.
¿Podría falsearse el certificado?, por supuesto, y por eso entran en juego las CA, o "Certificate Authority" que son entidades emisoras de certificados SSL firmados, que sólo dan certificados sobre un dominio a su propietario y nos asegura que el servidor es quien dice ser.
Verificar un certificado
En la mayoría de webs esto no es necesario, pero en webs bancarias o de servicios donde se maneja dinero o datos sensibles, sí deberías revisar las conexiones. El phishing cada vez es más sofisticado, por lo que verificar el certificado nos dejará al margen de ataques phishing que quieran hacernos. Los pasos son los siguientes:
NOTA. Usaré Firefox, pero en Chrome y Edge es similar.
- 1. Pinchar el candado que aparece junto a la dirección URl
- 2. En el recuadro que se abre, pinchar "conexión segura". Vemos que nos dice que la conexión es segura y nos dice el CA que ha autorizado el certificado. Con esto ya debería bastar, pero como soy algo paranoico, prefiero hacer una verificación de certificado.
- 3. Pinchar abajo donde pone "Más información". Se abre una ventana con información sobre el cifrado usado. Elegir la pestaña superior llamada "Seguridad", y a la derecha pinchar el botón "Ver certificados".
- 4. Se abre una pestaña en Firefox (about:certificate) con varias secciones que nos informa sobre el certificado, dueño, CA y versión de cifrado, algoritmo usado y su tamaño, etc. Sin cambiar de sección, bajar hasta donde pone "Misceláneo", y aparte del Número de serie, Algoritmo de firmas y Versión, aparece "Descargar" con dos enlaces llamados PEM(cert) y PEM(cadena). Pulsar el primero y descargar el archivo. Es un archivo de texto que si se abre solo verás una clave gpg.
- 5. Ahora, cuando quieras volver a entrar, hay que hacer todos los pasos anteriores, y una vez descargado de nuevo el archivo, podrás compararlo con el que ya tenías mediante alguna herramienta como 'meld', y por supuesto, deben coincidir.
NOTA: Es importante fijarse en la caducidad. Si tenemos guardado un certificado caducado, no corresponderá con el renovado, y eso no significa que sea incorrecto. Es importante también no modificar estos archivos.
Hay quien se hace un listado apuntando las huellas digitales SHA-256 que aparecen en la misma pestaña del punto 4, pero es más lioso desde mi punto de vista.
¿Engorroso?, en absoluto, solo lleva unos segundos todo el proceso, y cuando lo tienes por la mano ni te enteras.
Tags #certificado #navegador #verificación
/blog/