01/02/2005, 02:50
|
| | Fecha de Ingreso: marzo-2004
Mensajes: 142
Antigüedad: 20 años, 9 meses Puntos: 0 | |
Certificado caducado. Los certificados x509 para servidor, para ssl, se usan para dos cosas, para autenticar la identidad del servidor, del dominio, y para cifrar las comunicaciones.
Cuando el webmaster genera su pareja de claves, puede especificar que longitud tendrán, dependiendo de lo que soporte su software (Apache, IIS, etc), 512 ,1024, 2048, 4096 bits. Estas longitudes determinan el periodo de tiempo durante el que estas claves son seguras, es decir, que una clave puede estar siendo atacada desde el momento en que se crea, por fuerza bruta, curva elíptica, etc, y cuanto mayor sea la clave mas tiempo hace falta para romperla.
Por el momento la clave asimétrica mas grande que se ha roto nunca es una con 512 bits de longitud.
Por este motivo los certificados tienen un par de campos "valido desde" y "valido hasta", que es un periodo de tiempo que se incluyó para especificar a partir de que momento las claves pueden correr el riesgo de haber sido comprometidas, por la posibilidad de haber sido atacadas por criptoanálisis desde el momento de su creación.
En la realidad, una clave RSA de 1028 bits es segura durante muchos, muchos años, aun siendo el conejillo de indias de una batería de criptógrafos.
Las Autoridades Certificadoras usan estos campos para poder cobrar a sus clientes periódicamente, normalmente cada año, por los certificados que venden, aunque este no sea el objetivo de la creación de estos campos en el estándar x509.
Resumiendo, SSL sigue funcionando igual. El inconveniente de usar un certificado caducado es que todos los navegadores cotejan estas fechas y lanzan un pantallazo avisando al usuario de que el certificado ha caducado y no se puede hacer nada para evitarlo desde el server. En lo referente al cifrado de las comunicaciones, usuarios que lean este post no tendrán problemas en entrar y confiar en ese site, pero la mayoría desconfiarán por ignorancia. En lo referente a la autenticación, si hay un motivo para desconfiar, ya que la empresa puede haver desaparacido o cambiado de dueño y el falso site puede estar utilizando un certificado caducado que no esta respaldado por una tercera parte confiable (Autoridad certificadora), aunque esto tambien puede pasar durante el periodo de validez del certificado ;), para eso existen las listas de revocados, pero no se suelen usar y los navegadores suelen tener esta comprobación deshabilitada por defecto.
Un saludo.
Última edición por Enriquez; 01/02/2005 a las 03:00 |