Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/05/2013
Comprova la qualitat de la implementació SSL de qualsevol lloc
Segons Wikipedia, “Secure Sockets Layer (SSL; en valencià «capa de connexió segura») i el seu successor Transport Layer Security (TLS; en valencià «seguretat de la capa de transport») són protocols criptogràfics que proporcionen comunicacions segures per una xarxa, comunament Internet”.
En essència, és el protocol de xifratge que utilitzen les pàgines segures, que reconeixem per la capçalera HTTPS en la barra d'adreces del nostre navegador.
Sense eixir del navegador, hi ha prou de punxar en la icona a l’esquerra de la URL per a aconseguir més informació sobre la seguretat del lloc que estem visitant en el moment: si el trànsit està xifrat, quina entitat ha emés el certificat, característiques del xifratge, etc. El que no podem determinar amb eixa informació, almenys no els ulls inexperts, és la qualitat d’implementació d’eixe xifratge. Per a això hi ha ferramentes en línia tan interessants com la que proporciona gratuïtament Qualys SSL Labs.
El seu funcionament és senzill: introduïx una adreça URL a examinar i, valga la redundància, examina el resultat, el qual s’encapçala amb un quadro molt senzill de comprendre, que assigna categories per mitjà de lletres. I no et conformes amb menys d’una A. Perquè d’això tracta este servei, que és útil al propietari d’un servidor, però també a l’usuari comú. Et fiaries d’emmagatzemar informació sensible en un servidor que no done la talla? Farem una xicoteta demostració.
Correu electrònic:
-
Gmail: A
-
Outlook: B
-
Yahoo: B
Servicis de notes / tasques:
-
Evernote: A
-
Springpad: B
-
Wunderlist: F
Xarxes socials:
-
Facebook: A
-
Twitter: A
-
LinkedIn: A
Per descomptat, Qualys SSL Labs no sols oferix un quadre amb lletres, sinò que l’acompanya amb unes quantes taules d’informació, amb la qual cosa se li pot traure molt més joc a un invent que, no cal dir-ho, tampoc és la panacea, però sí que servix com a indicador puntual. De fet, tot just entrem s’observa una llista amb les últimes entrades provades pels usuaris (encara que pots evitar amb una opció que es publique l'adreça ), així com un rànquing amb els millors i pitjors llocs provats recentment, i quasi tots els millors són pàgines relacionades amb la seguretat informàtica.
Així doncs, abans de confiar les teues dades a un nou servici, fes-li la prova del cotó. Perquè en més ocasions del que seria desitjable, hi ha pàgines a les quals sobra la s al final del HTTP.