Certificados SSL/TLS

Conocer y asegurarse de la identidad de un sitio web

Problema

• Una persona se encuentra en una web que muestra una alerta de ‘Conexión no segura’ indicando que el certificado SSL/TLS no es válido.
• Una persona abre un cliente de correo (Outlook o Thunderbird) y le aparece una alerta que avisa que no se ha podido conectar de forma segura al servidor de correo debido a un error de certificado.

En ambos casos hay un botón que permite acceder al contenido web o conectar al servidor de correo aunque no sea seguro. La persona no sabe si debería añadir una excepción que le permitiría continuar.

Solución

Los certificados SSL/TLS vinculan una clave criptográfica a los datos de una organización y el dominio que se visita, y activan el protocolo HTTPS que cifra la conexión desde el navegador al servidor web y viceversa.

La mayoría de webs hoy en día ofrecen conexión cifrada a quién las visita. Podemos reconocer una conexión cifrada y segura si en la barra del navegador aparece un candado y la dirección empieza con https:// en lugar que http://.

Este tipo de conexión garantiza, por un lado, que el contenido de la comunicación viaja cifrado entre la web y quién la visita, pero tiene otra función muy importante. Una conexión https garantiza que estás realmente conectando con el dominio que has introducido y no con una posible intrusión o suplantación de identidad.

Estos certificados tienen una duración que suele variar entre tres meses y un año. Una configuración errónea del servidor podría provocar que el certificado caduque sin que se renueve a tiempo. Este vencimiento genera una alerta del tipo “El sitio que quieres visitar es inseguro”.

Para ofrecer conexiones cifradas desde un servidor es necesario que disponga de un certificado TLS, que solo se puede generar desde el mismo servidor. Es decir, no podrías generar un certificado para un dominio que no posees, lo que garantiza la identidad del nombre del dominio.

Para evitar sufrir ataques de suplantación de identidad, no se debe confiar nunca en conexiones que muestren alertas de certificado no válido. En su lugar, debes ponerte en contacto con las administradoras de la web o del servicio de correo y notificarles el error para que procedan a arreglarlo. De lo contrario, podrías estar insertando datos en una web ilegítima, que podría estar intentando extraer información privada de las usuarias.

Reacción / Apagafuegos

En caso de encontrarse en un sitio web sin https o con el certificado caducado o no válido:

• Avisar a la persona administradora de la web.
• Debes ser consciente que esta página ha podido ser crackeada o modificada maliciosamente. No confíes en su contenido.
• Nunca introduzcas tus credenciales en una web con el certificado no válido.

Prevención / Sensibilización

• Instala en tu navegador la extensión o complemento HTTPS Everywere. Disponible para Chrome, Firefox, Edge y Opera. Viene instalado por defecto en Brave y Tor.
• Si administras una página web, Lets Encrypt ofrece certificados SSL/TLs gratuitos. Aprende a activarlos en Cómo montar una servidora feminista con una conexión casera.

Enlaces de interés

• TLS and self-signed certificates por Access Now Digital Security Helpline Public Documentation