Llegamos a ustedes gracias a:



Noticias

Un mal ajuste del SSL puede matar el comercio electrónico

[08/07/2010] Los comerciantes en línea se están disparando en el pie con las implementaciones de SSL defectuosas que activan las alarmas, ahuyentando así a los clientes antes de que tengan la oportunidad de completar las transacciones.

El problema no es con la tecnología SSL; sino con una serie de factores que rodean su implementación y que merman la seguridad o la percepción de seguridad, cualquiera de ellos pueden socavar la confianza del cliente, afirma Iván Ristic, director de ingeniería, firewall de aplicaciones web y servicios de SSL de Qualys, quien presentará el informe "Estado del SSL en Internet: Encuesta 2010, Resultados y Conclusiones", en la conferencia Black Hat 2010 a finales de este mes.
Entre los problemas más saltantes está la falta de coincidencia entre los nombres de dominio que aparece en los certificados SSL y los nombres de dominio de los comercios, señala. Este desajuste provoca que el navegador lance advertencias en forma de popups diciendo que el certificado puede ser nulo, y en ese momento los clientes potenciales pueden optar por abandonar las transacciones, indica Ristic. "Estamos creando una sensación de temor entre los clientes de que hay problemas en cada esquina", añade. "Técnicamente, SSL es un protocolo muy bueno. La forma en que se lo utiliza hoy en día no es muy buena".
En Black Hat, Ristic revelará los resultados de un extenso estudio que ha dirigido sobre el uso de SSL y su más reciente encarnación -Transport Layer Security (TLS)- con el objetivo de afrontar los problemas que aparecen en sitios de Internet. Él todavía está procesando los números de su encuesta de un año de duración en sitios web, pero tiene un sentido de las cuestiones prevalentes. "Existe cierta evidencia de que el 50% de todos los problemas con SSL son debido a una mala configuración y no provienen de ninguna vulnerabilidad como tal", señala.
En muchos casos, una vez que los usuarios reconocen las deficiencias de sus implementaciones, podrían arreglarlas en una hora más o menos, mejorando enormemente la seguridad general del sitio.
El especialista indicó que su charla se centrará en tres áreas: los certificados; cuál versión de SSL es utilizada, y las debilidades de configuración en el tipo de servidor web, las suites de cifrado y compatibilidad con el protocolo, entre otros. Esta encuesta busca sitios que utilizan las versiones inseguras conocidas de SSL que deberían haber sido reemplazadas y otras malas prácticas que socavan la seguridad, agrega.
El objetivo de la investigación de los Laboratorios SSL es encontrar las mejores prácticas en sitios reales actuales que usan SSL. Hasta ahora, el estudio ha tratado de encontrar la mayor cantidad posible de servidores SSL, y Ristic se decidió hacerlo conectándose a la mayor cantidad de los 193 millones de nombres de dominio registrados como sea posible. Rápidamente consiguió los nombres con .com, .net, .org, .biz, .us y .info, lo cual le dio 119 millones sitios con qué comenzar.
Luego, eliminó los que no parecían prometedores –aquellos en los que se falló en resolver (12,4 millones) y aquellos que fallaron en responder (14,6 millones). De los restantes 91,65 millones, solo 33,69 abrió el puerto 443, que está designado para SSL. De ellos, 22,65 millones realmente ejecutaban SSL a través del puerto.
Según los criterios de los laboratorios SSL, los certificados con nombres de dominio que no coinciden con los nombres de los sitios de dominio deben considerarse caducados, descartando otros 21,93 millones. Eso dejó a solo 719.093 sitios SSL que valían la pena considerar a fin de encontrar la manera de hacer bien las cosas de SSL, indicó.
El gasto de la creación de sitios web SSL a través de los web hosts también puede ser un factor en las malas implementaciones, anotó Ristic. Los negocios que desean procesar las transacciones del cliente en línea necesitan SSL, y si quieren usar sus propios certificados SSL que ofrecen sus nombres de dominio, también necesitan direcciones IP únicas. Hay servicios de hosting que comparten los certificados SSL entre los clientes, pero estos se encontrarán con el problema de que el nombre de dominio del certificado no coincide con el nombre de dominio del negocio.
Es necesario hospedar los servidores SSL en máquinas virtuales como parte de los servicios de los proveedores de hosting para disminuir los costos de sitios adecuadamente conducidos, señaló Ristic. Eso es un trabajo en progreso, agregó.
Las ventas mejoradas en línea también dependerán del rendimiento de sitios SSL, y ese rendimiento será motivo de informes posteriores de los laboratorios SSL, señaló.
Tim Greene, Network World (US)