La EFF ha comenzado una serie de artículos sobre la seguridad de HTTPS y SSL/TLS en su blog.

En la primera entrega analizan las causas de revocación de certificados HTTPS de un conjunto de CA’s para comprender hasta qué punto la revocación ha sido provocada por un ‘ataque’.

Es muy interesante el conjunto de posibles medios para comprometer la seguridad de tu conexión HTTPS y que completa lo que ya contamos en su día en el artículo HTTPS Tampoco Te Protege Siempre. Un resumen breve:

  • Comprometer la CA o sus aplicaciones web
  • Comprometer routers cercanos a la CA o cercanos a la víctima
  • Comprometer DNS recursivo usado por la CA o generar entradas DNS falsas para la víctima
  • Atacar protocolos que permitan tener acceso a los correos enviados a la víctima
  • Por último, el gobierno del país donde está la CA puede ordenarle que genere certificados o pueden efectuar cualquiera de los ataques anteriores

Los datos del artículo hacen ver que hay un número considerable de certificados que han sido revocados por ‘CA compromise’, que parecen haber aumentado recientemente.

Hemos sido testigos hace poco de otra CA comprometida en Malasia. Y mucho me temo que no va a ser la última.

Y los certificados de la FNMT sin ser reconocidos por los navegadores, para acostumbrar a la gente a ignorar los warnings.

Dicho todo esto, sin embargo, siempre será mejor usar HTTPS que el fatídico plaintext. Por lo que la EFF ha lanzado su plugin de Firefox HTTPS Everywhere para preferir el uso de HTTPS cuando estéis ahí fuera.