Firefox y su desconfianza hacia los certificados autofirmados
Las páginas SSL con certificados autofirmados son cada vez menos fiables. Sin embargo, ¿se puede decir que Mozilla Firefox 3.0 ha exagerado un poco este problema?
Si hablamos de este artículo es porque parece haber recibido una gran aceptación en la Web: concretamente, recibió 800 comentarios en un hilo de Slashdot, la mayoría de ellos a favor. En nuestra opinión, la mayoría de las reacciones no han tenido en cuenta que los usuarios, a diferencia de Tuck, no conocen los riesgos y necesitan que se les pare los pies. Incluso aunque sea más “abierto” dar acceso a sitios autofirmados, es mejor que los usuarios estén protegidos, y esa protección es más difícil si no se confía en los que concedieron la certificación.
Las autoridades certificadoras no son tampoco la panacea de la seguridad. Cometen errores de vez en cuando, como dar certificados a autores de malware. En muchos casos, confirmar que el propietario del certificado es quien dice ser no sirve de nada. Por supuesto, si el propietario se llama Paypal, entonces todos sabemos con quién estamos tratando. Pero, ¿qué ocurre si se llama PepeMegaNet, por ejemplo? ¿Quiénes son? ¿Se puede confiar en ellos? Lo que vale de verdad, por tanto, es una certificación autofirmada que diga que el propietario es PayPal. En este caso, la protección anti-phishing puede detectar a los vándalos y avisar al usuario de que hay un problema.
Pero lo que suele ocurrir con los certificados autofirmados es que nadie responde por la identidad. Los autores de los navegadores han decidido que la identidad es sumamente importante y que no puede ser verdaderamente contrastada con un certificado autofirmado. Como Michael Barrett, de PayPal, señala: “en el caso de los certificados autofirmados, es casi imposible encontrar una tecnología capaz de discernir entre un uso legítimo de la firma y uno ilegítimo”.
Esto es totalmente cierto, aunque también hay que tener en cuenta que Firefox se ha pasado un poco de la raya con este asunto. Ellos no sólo te advierten de los peligros de los certificados autofirmados sino que les ponen la zancadilla. Una y otra vez. La decisión de Internet Explorer 7 parece más razonable, sobre todo porque mantiene la advertencia cada vez que utilizas el sitio.
No sería mala idea que Firefox 3.1 se planteara cambiar en este sentido y dejase que el usuario decidiese por sí mismo si quiere seguir adelante o no con los certificados autofirmados.
