Mejorando la seguridad en el uso de los certificados en Firefox

Como comenté en esta entrada, en las recomendaciones para una navegación más segura, se indica el que configuremos nuestros navegadores para que usen el protocolo UCSP (Online Certificate Status Protocol) para que compruebe la validez de los certificados que recibimos. UCSP es un método para determinar el estado de revocación de un certificado digital X.509 usando otros medios que no sean el uso de CRL (Listas de Revocación de Certificados). Este protocolo se describe en la RFC 2560.

¿Cómo se activa USCP?

Si seleccionamos la opción Editar>Preferencias>Avanzado y, dentro de esta, a la pestaña de los certificados( figura 1) nos encontramos con 3 botones. El del medio, Validación, es el que al pulsarlo nos muestra la activación de UCSP (figura 2)certificadosFigura 1.- Manejo de certificados en Firefox

ocspFigura 2.- Opciones de UCSP

En mi opinión, es una buena idea activar la opción de tratar el certificado como no válido cuando falle la conexión a un servidor OCSP. Así, cualquier error con el servicio (intencionado o no) no nos deja debilitados.

¡Espero que os sea útil!

Referencias

  1. RFC 2560

Add-on que te ayuda a detectar sitios web falsos

¿Cómo podemos saber que la página a la que nos conectamos es la “verdadera”? Si hablamos de la página de nuestro banco online, es importante que nos aseguremos, ¿verdad?.

Si ya nos hemos conectado otras veces, podemos detectar cambios en los certificados relacionados con las páginas que vistamos con la utilidad Certificate Patrol. Es un add-on disponible tanto para Chrome como para Firefox que nos permite detectar plagios (sitios web que se hacen pasar por otros) y mejorar la seguridad de nuestra navegación.

Para Firefox, el add-on lo podemos conseguir en el sitio oficial de Mozilla Siguiendo los pasos habituales instalamos el software y reiniciamos el navegador.

Pulsando en Herramientas>Complementos, veremos Certificate Patrol y podemos configurar las preferencias que deseemos (ver figura 1).

Captura de pantalla de 2014-05-04 13:35:14Figura 1.- Preferencias de Certificate Patrol.

Una opción que, en mi opinión, deberíamos habilitar es Show details of all certificate changes, even harmless ones, by default y Show details of an already accepted wildcard certificate again when it matches a new hostname para que estemos al tanto de los cambios que ocurran.

Espero que os sea de utilidad tal y como recomiendan en este vídeo de Intypedia.


Vídeo sobre la seguridad de SSL y recomendaciones para mitigar problemas

Todos hemos oído hablar del grave error de seguridad en openSSL Heartbleed que permite a un atacante capturar contraseñas y certificados. En Criptored ya explicaban que, dentro de los posibles ataques a SSL, están los fallos de programación en las distintas implementaciones. Aquí os dejo el vídeo. Es muy interesante, sobre todo para profesionales de la informática. En la página de la lección hay más documentación.

Leer más


Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Más información.