viernes, 20 de septiembre de 2013

Trust no one, user-agent.

Este es uno de esos que lo escribí a medias tiempo ha y creo que va siendo hora de revisarlo bien, terminarlo (si es que hace falta terminarlo) y editarlo bien, dado que el original estaba escrito desde el móvil.

--

Como si fuera Garganta Profunda en esa (para mí) magnífica serie de televisión Expediente X, "no confíe en nadie, agente Mulder", tendríamos que decirle lo mismo a nuestros navegadores.

Se me ha ocurrido todo esto a raíz de un artículo de SbD, y escrito por Juan Garrido, Juanito, @tr1ana.

Seguro que ya os he hablado alguna vez de las CAs. Son las entidades que se encargan de suministrar los certificados digitales. Si alguien ha llegado aquí y no sabe qué es eso, es un fichero que de guarda en un lugar especifico del ordenador y que hace que cuando visitas una página que lo usa, salga el famoso "candado".
Sí, está explicado de una manera muy, muy simple y no muy exacta. No es (¿era?) fácil hacerlo desde el móvil.

¿Y cómo sabemos si es bueno o no? Precisamente porque si está guardado en ese lugar, llamado almacén, es que confiamos en él. Y, si confiamos en él, el sistema no nos alterará de nada sospechoso. Por lo que, si aceptamos uno de estos sin ser conscientes, el hecho de que tu navegador ponga el candado no servirá de nada. Y mucho menos si se acepta que se guarde permanentemente en el almacén. Tengamos en cuenta que normalmente ese almacén suele pertenecer al sistema operativo. Aunque, en ocasiones, un navegador (como por ejemplo Firefox), tiene su propio sistema de almacenamiento y obvia el que tiene el sistema operativo.

Además, a veces, los navegadores, o el propio sistema, preguntan a la CA si su certificado sigue siendo valido. Pongamos un ejemplo: una CA, que en teoría, es seria, se ve comprometida. Una vez se dan cuenta, ésta puede avisar de que lo que ha emitido ya no es válido. Cada navegador reacciona de una forma un otra según los sistemas para preguntar o si le llegan o no las respuestas.

La historia está en que algunos no hacen nada, no avisan ni ponen medios para activar el aviso. Otros, como en el post de Juanito, se puede activar.

Total, que volvemos al principio: la confianza en la CA que ha emitido ese certificado. Porque :¿de qué sirve tener el candado o la "s" al final del http si estamos confiando en alguien en el que no deberíamos confiar? Al fin y al cabo, eso es lo que suele pasar en los MITM (Man In The Middle).

Me faltaría explicar en dos líneas, para el que no lo sepa, que esa entidad emisora/CA es capaz de descifrar aquello para lo que ha sido emitida además de poder hacerlo para todos sus hijos. Una vez más, muy resumido.

¡Y todo esto, por asociación de ideas del post de Triana! De todas formas, si tienes dudas o no has entendido algo, por favor, no tengas reparos en poner un comentario e intentaremos explicarlo lo mejor posible. 

No hay comentarios:

Publicar un comentario