como comprovar CA's del navegador

[jordi25]

Hola

He leído algo sobre certificados digitales pero no me han quedado las cosas muy claras.

Veo que en el navegador hay un sitio donde se tienen guardadas una série de CA's que, si lo entiendo bien, servirán para aceptar directamente certificados que estén firmados por ellas. Mi pregunta es, como puedo comprovar que realmente todas las CA's que tengo en mi navegador son legítimas y que alguien o algo no me ha modificado o añadido ninguna de ellas, haciendo que mi navegador confíe en páginas fraudulentas?

Por otro lado, cómo puedo comprovar los certificados que no están firmados por ninguna CA de las que tiene mi navegador?

Saludos y muchas gracias!

[j8k6f4v9j]

Los certificados digirables deben estar firmados por entidades autorizadas. Pero hay excepciones. Supongamos que tú quieres tener un servidor web seguro, con conexión cifrada mediante openssl y cuyo certificado digital no te cueste un riñón.
En este caso sólo has de crear uno y firmarlo tú mismo. Para luego acceder desde otra máquina sólo has de guardar ese certificado digital, ya que estás seguro de que es el tuyo porque lo puedes comparar fácilmente.

Esto puede llevar a la confusión, ya que la mayoría de la gente acepta los certificados sin más cuando quieren acceder al contenido que les interesa. Es la mayor vulmerabilidad para este tipo de protección , ya que se puede aceptar un certificado de alguien situado en medio a la hora de acceder a un sitio web seguro.

Salu2

Keep on Rollin'

[jordi25]

Hola j8k6f4v9j

Muchas gracias por contestar. Por eso hacía la pregunta, porque ya he visto la facilidad con la que te puedes crear un certificado autofirmado.
Entonces se me ocurre la posibilidad de que alguien cree un certificado autofirmado con algún nombre que de el pego como entidad autorizada y de algún modo consiga añadírmelo entre las entidades autorizadas en mi navegador. De ese modo, qualquier servidor al que accediera yo que tuviera un certificado firmado por esa entidad autorizada falsa, mi navegador lo aceptaría tranquilamente, sin ni siquiera preguntarme, no?

Es eso posible? No hay ninguna manera (algun programa, url donde esté su clave pública,...) de comprobar si las entidades autorizadas que se tienen són auténticas? No debo preocuparme de eso?

Por el otro lado, por lo que hace a los certificados que no están firmados por ninguna entidad autorizada que tengamos en el navegador, supongo que el consejo a seguir sería desconfiar sobretodo de qualquier entidad bancária o comercial (o en que se trate con información confidencial importante) que nos pida la aceptación de un certificado, ya que éste ya debería haber estado firmado por una CA y nuestro navegador ya la habría tenido que aceptar sin preguntar. Entonces, en ese caso sería recomendable no aceptar el certificado sin ponerse en contacto telefónico con los administradores del sitio para preguntar si es seguro, no? No habría otra forma, no?

Muchas gracias y saludos!

[j8k6f4v9j]

Entonces se me ocurre la posibilidad de que alguien cree un certificado autofirmado con algún nombre que de el pego como entidad autorizada y de algún modo consiga añadírmelo entre las entidades autorizadas en mi navegador. De ese modo, qualquier servidor al que accediera yo que tuviera un certificado firmado por esa entidad autorizada falsa, mi navegador lo aceptaría tranquilamente, sin ni siquiera preguntarme, no?

No funciona así. Cada vez que accedes a un sitio, cuyo certificado digital está firmado por una entidad desconocida o no autorizada, recibes la advertencia. Si aceptas el certificado permanentemente no recibes la advertencia más para ese sitio, pero sí para el resto que no hayas aceptado, aunque estén firmados por la misma autoridad desconocida.

Es eso posible? No hay ninguna manera (algun programa, url donde esté su clave pública,...) de comprobar si las entidades autorizadas que se tienen són auténticas? No debo preocuparme de eso?

Si la autoridad certificadora está autorizada no has de comprobar nada, se comprueba solo, el problema está con las autoridades no autorizadas, certificados caducados, incoherencias entre los datos del certificado y el sitio web, etc. O sea, cada vez que se produce una advertencia.

Por el otro lado, por lo que hace a los certificados que no están firmados por ninguna entidad autorizada que tengamos en el navegador, supongo que el consejo a seguir sería desconfiar sobretodo de qualquier entidad bancária o comercial (o en que se trate con información confidencial importante) que nos pida la aceptación de un certificado, ya que éste ya debería haber estado firmado por una CA y nuestro navegador ya la habría tenido que aceptar sin preguntar.

Desde luego, pero se da el caso de que he estado haciendo mis gestiones bancarias durante mucho tiempo aceptando su certificado caducado, y sin embargo era auténtico. Ése es el problema al que me refiero.

Entonces, en ese caso sería recomendable no aceptar el certificado sin ponerse en contacto telefónico con los administradores del sitio para preguntar si es seguro, no? No habría otra forma, no?

Yo no la conozco, pero imagínate lo tedioso de llamar al banco para que te conteste alguien que no tiene idea de lo que le estás hablando. Sería lo mismo que no usar el servicio directamente, o que admitir que nuestro nivel de paranoia en materia de seguridad está por encima de la media.

Salu2

Keep on Rollin'

[jordi25]

Hola j8k6f4v9j

Disculpa por hacerme pesado, no es mi intención, pero...

Por lo que entiendo, yo en mi navegador puedo añadir entidades autorizadas, que desde el momento en que las he añadido, aunque las haya creado yo, dejan de ser desconocidas por mi navegador. Entonces, si he utilizado esa entidad autorizada para firmarme un certificado, mi certificado habría pasado a estar firmado por una entidad autorizada en la que mi navegador confía y mi navegador no me sacaría ninguna advertencia. En mi navegador, entonces, no habría diferencia que mi certificado hubiera estado firmado por verising a que hubiera estado firmado por la entidad autorizada que yo mismo me he creado, no?

Desde el firefox, yendo a: Herramientas>opciones>avanzado>cifrado>visualizar los certificados>Entidades
Si clico en la opción importar, no me podría añadir un certificado autofirmado que sirviera de entidad autorizada?

Por lo que hace al nivel de paranoia, seguro que está por encima de la media... jeje Pero no sólo es paranoia, que la hay, si no un intento por intentar comprender un poco cómo funciona...

Muchas gracias por tu paciencia!

Saludos

[j8k6f4v9j]

No te preocupes.

No te sacaría advertencia si la autoridad certificadora ya es conocida (o sea, si tú la has aceptado) y los datos son los mismos (nombre de dominio o host, etc)

Puedes añadir certificados, pero no son entidades. Una entidad es la que dice que el certificado que estás comprobando (tu navegador es quien lo hace) es auténtico y válido.

Como consejo, ya que veo que relmente estás interesado en el funcionamiento, te recomiendo que te instales un servidor web seguro y te crees tus propios certificados. A ser posible usa alias o servername based servers.

Salu2

Keep on Rollin'

[jordi25]

Hola

Gracias por tus consejos. De hecho hace un par de años hice una práctica en la que hacíamos algo parecido pero entonces no se me plantearon estas dudas. A ver si la encuentro y saco tiempo para repetirla y se me aclaran un poco las ideas.

Muchas gracias por tu interes.

Saludos