SSL Los certificados se utilizan para el cifrado y la validación. El cifrado garantiza que el tráfico no pueda ser manipulado por fisgones y mejora la confidencialidad e integridad de la información en cualquier transacción. La validación garantiza que las dos partes que se comunican son realmente quienes dicen ser.
La necesidad de mejorar la verificación de la identidad llevó al Foro CA/Browser (CAB) a crear los certificados de validación ampliada (abreviado, certificados EV).
Eso sonó como una boca llena. Pero esto es lo que parecen.
Sin embargo, hace tiempo que no veo un certificado de navegador web como éste. Como señala Troy Hunt, los certificados EV probablemente están muertos y ni siquiera los utilizan los diez sitios web más importantes de Internet.
Y aunque el uso de certificados EV ha empezado a perder fuerza, todavía se pueden comprar certificados EV a algunas de las principales autoridades públicas de certificación. Veamos en qué consisten y si los certificados EV merecen la pena.
¿Qué son los certificados VE?
Un certificado EV es el nivel más alto de los certificados SSL . Todos los certificados SSL - Extended Validation (EV), Organization Validated (OV) y Domain Validated (DV) - proporcionan cifrado e integridad de los datos. Sin embargo, varían en lo estricto del proceso de verificación de la identidad del propietario del sitio web. Un certificado EV proporciona el nivel más alto de garantía de identidad digital al verificar la identidad legal del propietario de un sitio web.
Según las Directrices para la Emisión y Gestión de Certificados de Extended Validation, la función principal de un certificado EV es:
"Identificar la entidad jurídica que controla un sitio web: Proporcionar una garantía razonable al usuario de un navegador de Internet de que el sitio web al que accede el usuario está controlado por una entidad jurídica específica identificada en el certificado EV por su nombre, dirección de la sede social, jurisdicción de constitución o registro y número de registro u otra información que permita discernirlo."
La confirmación de la identidad del sitio web se lleva a cabo de acuerdo con las rigurosas directrices del Foro CAB e implica un estricto proceso de verificación por parte de una Autoridad de Certificación pública. La Autoridad de Certificación debe validar la identidad operativa y física de la persona que solicita un certificado EV. Esto se hace confirmando la identidad legal del propietario del sitio y que el solicitante es el propietario y el único controlador del dominio. Debido al riguroso proceso de verificación de la identidad del propietario del sitio web, un certificado EV proporciona un alto grado de confianza a los visitantes del sitio web.
Antes del otoño de 2019, un visitante de un sitio web validado por EV podía distinguirlo por el nombre del sitio web en texto verde o en una barra verde que mostraba el nombre legal y la ubicación geográfica de la empresa propietaria del certificado. Sin embargo, a partir de ese periodo, tanto Mozilla Firefox como Google Chrome eliminaron esa indicación. Todos los certificados de SSL muestran ahora un candado gris en la barra de direcciones del navegador.
Si desea saber si el sitio utiliza un certificado EV, ahora tiene que hacer clic en el candado gris para investigar.
¿Cuáles son los casos de uso?
Aunque los certificados EV son más caros de adquirir y el proceso de verificación es más difícil y largo que para el resto de certificados de SSL , presentan algunas ventajas tangibles.
En primer lugar, pueden dificultar la vida de los ingenieros sociales. Los sitios de suplantación de identidad que se hacen pasar por organizaciones y empresas legítimas constituyen una gran amenaza para los usuarios y los servicios en línea y son uno de los vectores clave para robar o comprometer datos sensibles y personales. Los delincuentes pueden comprar certificados DV bastante baratos en el mercado negro para hacer que sus sitios parezcan legítimos y dignos de confianza y atraer a víctimas desprevenidas para que envíen involuntariamente información financiera u otra información personal.
Los sitios web fraudulentos y de phishing son un problema cada vez mayor y ponen de relieve la necesidad de una sólida verificación de la identidad en línea. Los visitantes necesitan una garantía razonable de la identidad de la empresa con la que están tratando, para generar y mantener la confianza con esa empresa y sentirse más seguros realizando transacciones en línea. Los certificados EV pueden proteger a los clientes comerciales de ser víctimas de ataques de phishing mostrando la identidad verificada del operador del sitio directamente en el certificado.
Aparte de la protección contra la suplantación de identidad, los certificados EV son una excelente manera de demostrar el cumplimiento de los requisitos de seguridad y privacidad promulgados en diversas normativas, leyes y actos. HIPAA, PCI DSS y GDPR exigen que las empresas protejan los datos médicos, financieros y personales de sus clientes frente a infracciones. Los certificados EV pueden ayudar a las empresas a garantizar una auditoría satisfactoria en relación con estos requisitos.
A pesar de las ventajas mencionadas, los certificados EV no son para todo el mundo. Las organizaciones deben examinar el valor añadido de estos certificados. Son ideales para sitios web de alto perfil que los atacantes suelen utilizar como blanco de ataques de suplantación de identidad, como grandes minoristas, bancos, instituciones financieras o entidades gubernamentales de cara al público. De hecho, cualquier sitio web que recopile datos, procese inicios de sesión o pagos en línea puede beneficiarse de mostrar su identidad de marca verificada. Los certificados EV pueden utilizarse en todas las aplicaciones que requieran una mayor garantía de identidad y un alto nivel de confianza.
Ventajas de los certificados EV sobre los DV
Los certificados validados por dominio (abreviados certificados DV) son la forma más básica de certificados SSL . Son baratos de obtener y el proceso de emisión es rápido. El proceso de verificación confirma que el dominio está controlado por la parte que solicita el certificado. La CA confirma la dirección del dominio consultando el registro WHOIS o proporciona un archivo de verificación que el propietario coloca en el sitio web que desea proteger, o bien el solicitante crea un registro DNS que verifica el control del dominio.
Los certificados DV cifran el tráfico, como cualquier otro certificado, pero el nivel de verificación de la identidad es bajo. La ventaja de los certificados EV sobre los DV reside en el nivel de identificación. Los certificados DV verifican la identidad del servidor, mientras que los certificados EV verifican la identidad organizativa legal del sitio web. Si añadimos los deficientes procedimientos de gestión de certificados que dan lugar a certificados comprometidos o robados, resulta más difícil distinguir un certificado DV válido de uno falso. Por otra parte, es más raro encontrar certificados EV robados en el mercado negro y, si se encuentran, son mucho más caros que los certificados DV robados.
Sin embargo, todo se reduce al factor humano. Un certificado EV significa que el dominio es propiedad de una entidad jurídica registrada. No significa que ese sitio sea fiable de facto y de iure. En 2016, Troy Hunt señaló correctamente que la eficacia de los certificados EV depende de cómo las personas y las organizaciones se den cuenta de su valor y actúen para protegerlos. Unos años más tarde, piensa que los días de usar certificados EV han pasado.
No obstante, para que los certificados EV tengan éxito se requieren controles técnicos para gestionar su ciclo de vida que puedan aplicarse sin depender del usuario.
Aquí es donde resulta útil la automatización de la gestión del ciclo de vida de los certificados. Keyfactor le permite descubrir, gestionar y automatizar todos los certificados de su empresa. La plataforma le ayuda a pasar de una respuesta reactiva a una visibilidad y automatización proactivas con una infraestructura de clave pública (PKI) automatizada de extremo a extremo y una solución de gestión de certificados.