Como probablemente ya sepa, la web no tiene escasez de ciberdelincuentes para robar su dinero y / o identidad. Es posible que haya probado usted mismo: ¡hace poco más de un año tuve que lidiar con una factura de más de $ 700 por un teléfono inteligente ordenado a mi nombre! Lo que podrías no saber es lo fácil que es crear un sitio web realista y falso para recolectar contraseñas, números de tarjetas de crédito y otra información confidencial de víctimas desprevenidas. Sitios web como este a menudo se configuran como parte de suplantación de identidad esquemas: si hace clic en un enlace en un correo electrónico fraudulento que dice ser de una organización legítima como una empresa o escuela, se lo dirigirá a una página de inicio de sesión falsa donde los estafadores esperan que renuncie a los detalles jugosos.
Y aquí está la parte aterradora: Aproximadamente las tres cuartas partes de todos los sitios web de phishing ahora tienen un SSL /TLS ¡certificado! Según el Grupo de trabajo Anti-Phishing Informe de tendencias de actividad de phishing para el cuarto trimestre de 4, 74% de los sitios web de phishing utilizan HTTPS. Es gratis y fácil para los atacantes configurar un certificado DV en un sitio web fraudulento, y su navegador web le hará saber con gusto que es "seguro". Google Chrome incluso sugerirá que es Perfectamente bien para ingresar su contraseña o número de tarjeta de crédito:
Claro, su conexión es "privada", siempre y cuando no le importe que todo sea entre usted y algún estafador de mala muerte del otro lado. El abuso de DV HTTPS gratuito se ha vuelto tan grave que el FBI emitió una anuncio de servicio publico el 10 de junio de 2019 que dice: "No confíe en un sitio web solo porque tiene un icono de candado o 'https' en la barra de direcciones del navegador". A estudio detallado 2019 de los sitios web de phishing HTTPS, por Vincent Drury y Ulrike Meyer de la Universidad RWTH Aachen, se hace eco de esta conclusión: "El simple consejo al usuario de comprobar si un sitio web está protegido por HTTPS ya no es eficaz contra el phishing".
A pesar de estos graves problemas, la mayoría de los principales navegadores web se han mudado recientemente lejos de mostrar información validada sobre los propietarios de sitios web en la barra de direcciones del navegador para sitios protegidos con certificados de Validación Extendida (EV). La mayoría de los navegadores también han eliminado la interfaz de usuario de la "barra verde" que anteriormente indicaba un sitio web protegido por EV. Como consecuencia, algunas empresas y otras organizaciones se han alejado de los certificados EV y están protegiendo sus sitios web con certificados validados de dominio (DV) baratos (o gratuitos).
Un certificado de sitio web de DV ofrece a los usuarios un grado de protección al garantizar que la comunicación esté encriptada y que la entidad que ejecuta el sitio controle el nombre de dominio cuando solicitó el certificado, pero no garantiza quién posee y opera el sitio web. Solo un certificado de EV u OV (validación de organización) validado por CA proporciona esta información.
A continuación, le mostramos cómo puede verificar estos navegadores populares para ver si el propietario de un sitio web ha hecho un esfuerzo adicional para proteger e informar a los visitantes del sitio mediante el uso de certificados EV u OV:
Para resumir la información que se muestra a continuación, Internet Explorer actualmente hace el mejor trabajo de comunicar información EV a los usuarios. Safari sigue utilizando la interfaz de usuario de la "barra verde" para comunicar el estado del vehículo eléctrico a los usuarios, pero aún se necesita un clic para identificar al propietario del sitio. Chrome, Firefoxy Southern Implants no presente ningún indicador de EV en la barra de direcciones y requiera que los usuarios busquen información validada sobre el propietario de un sitio web. Chrome para macOS es particularmente malo, y requiere tres clics para ver esta información (o incluso determinar si existe).
Google Chrome
Estas capturas de pantalla se realizaron en Chrome 80.0.3987.149 en Windows 10 Enterprise versión 1809.
1. Google Chrome muestra un candado gris oscuro cerrado a la izquierda de la URL para todos los SSL /TLS certificados (DV, OV y EV):
2. Para obtener más información sobre el certificado de un sitio web, haga clic en el candado.
3. Chrome muestra que la conexión es segura (encriptada) y podemos ver que el certificado se emitió a SSL Corp. Puede obtener información más detallada haciendo clic en Certificado.
4. En la ventana que se abre, puede ver los detalles sobre el propietario del sitio web seleccionando el tema línea en el Detalles lengüeta. (Nota: En macOS, esta información se muestra en un formato diferente que es similar a Safari.)
Mozilla Firefox
Estas capturas de pantalla se realizaron en Firefox 73.0.1 en macOS 10.14.6 (Mojave).
1. Firefox muestra un candado gris oscuro a la izquierda de la URL para todos los SSL /TLS certificados (DV, OV y EV).
2. Para obtener más información sobre el certificado de un sitio web, haga clic en el candado.
3. Ahora podemos ver que el certificado del sitio web fue emitido a SSL Corp:
4. Puede buscar más información haciendo clic en el > símbolo en el lado derecho del cuadro de diálogo.
5. Ahora podemos ver que SSL Corp se encuentra en Houston, Texas.
6. Si desea ver información más detallada, haga clic en Más Información.
7. Se abrirá una página con información completa sobre el certificado y la cadena de confianza. La información sobre el propietario del sitio web se muestra debajo de Nombre del tema encabezamiento.
Microsoft Edge
Estas capturas de pantalla se realizaron en Edge 80.0.361.66 (Chromium) en Windows 10 Enterprise versión 1809.
1. Edge muestra el contorno de un candado cerrado a la izquierda de la URL para todos los SSL /TLS certificados (DV, OV y EV):
2. Para obtener más información sobre el certificado de un sitio web, haga clic en el candado.
3. Edge muestra que la conexión es segura (encriptada) y podemos ver que el certificado se emitió a SSL Corp. Puede obtener información más detallada haciendo clic en Certificado.
4. En la ventana que se abre, puede ver los detalles sobre el propietario del sitio web seleccionando el tema línea en el Detalles .
Internet Explorer
Estas capturas de pantalla se realizaron en Internet Explorer 11.11098.11763.0 en Windows 10 Enterprise versión 1809.
1. Para los sitios web de EV, Internet Explorer muestra la barra de direcciones con un fondo verde. Un candado cerrado y el nombre del propietario del sitio se muestran a la derecha.
2. Para los sitios web DV y OV, IE muestra un bloqueo pero no el nombre de la empresa y el fondo verde:
3. Para ver información sobre el certificado del sitio web, haga clic en el candado.
4. Aquí podemos ver que el sitio es operado por SSL Corp, de Houston, Texas.
5. Para ver más información sobre el certificado del sitio web, haga clic en Ver certificados.
4. En la ventana que se abre, puede ver los detalles sobre el propietario del sitio web seleccionando el tema línea en el Detalles .
Apple Safari
Estas capturas de pantalla se realizaron en Safari 13.0.5 en macOS 10.14.6 (Mojave).
1. Para los sitios web de EV, Safari muestra un candado verde y un nombre de dominio:
2. Para los sitios web DV y OV, Safari muestra un candado gris y texto negro:
3. Para ver información sobre el certificado del sitio web, haga clic en el candado:
4. Para los sitios web de EV, se mostrará información sobre el propietario del sitio web:
5. Puede obtener más información haciendo clic en el Mostrar certificado botón:
6. Aquí puede obtener información detallada sobre el certificado del sitio web y toda la cadena de confianza que conduce a la CA raíz (en este caso, SSL.com).
7. Puede ver los detalles sobre el certificado haciendo clic en el triángulo a la izquierda de Detalles.
8. Puede ver información detallada sobre el propietario del sitio web en el Nombre del tema encabezamiento.