L’home dibuixat

En els darrers mesos s'han descobert diversos problemes –o més aviat, podríem dir que alguns paràmetres que fa un temps eren vàlids el temps ha convertit en obsolets– relacionats amb els certificats utilitzats a les connexions SSL. Però fins a quin punt una connexió es pot considerar com a vàlida actualment?

SSL Labs ha publicat una eina online, Public SSL Server Database / SSL Server Test, amb el que podem fer una avaluació de la qualitat de la connexió SSL, tot analitzant el certificat del servidor i detectant la fortalesa davant els possibles problemes de seguretat.

El funcionament és ben simple: indiquem la URL del servidor i esperem uns segons, obtenint un informe com aquest, que ens indica visualment la qualitat de les connexions SSL:

Informe de SSL Labs

El codi de valoració s'explica en aquest PDF. En aquest cas concret, el grau "C" indica que el servidor de millorar, especialment en tractar-se d'una entitat financera.

Les raons per aquesta puntuació cal cercar-les en que permet connexions SSL 2.0, que es consideren com a dèbils, i que dóna suport a una sèrie de mecanismes de xifrat amb una longitud de clau massa petita (40 i 56 bits).

[H Security] SSL trick certificate published explica un truc (incloure el caràcter \0 al començament del CN) alhora de generar els certificats utilitzats en la comunicació SSL pot evitar que els navegadors emetin un alerta sobre certificat en el que no es confia en accedir al certificat. La majoria de navegadors ja han estat actualitzats per solucionar aquest problema.

jCryption 1.0 és una biblioteca de funcions en JavaScript que permet xifrar el contingut dels formularis HTML sense utilitzar SSL.

Fa servir les biblioteques de funcions JavaScript de RSA així com jQuery per al processament del codi HTML.

Aquesta biblioteca no és un substitut a l'HTTPS –no ofereix autenticació, per exemple–, però pot ser interessant per tal d'oferir un nivell base de seguretat allà on no hi ha disponible SSL o bé per garantir que sempre la informació dels formularis es transmet de forma xifrada.

És compatible amb l'Internet Explorer 6.0 i posteriors, Firefox 3.0 i posteriors, Safari 3, Opera 9 i Chrome.

sslsniff 0.6 és una eina per a la realització d'interceptació de les comunicacions SSL d'una xarxa, generant els certificats en temps real.

ZDNet entrevista a l'inventor de l'SSL, Taher Elgamal, on parla del que creu s'ha de fer per tal de millorar el nivell de seguretat a Internet: SSL not to blame for security woes.

La lectura és interessant per entendre l'abast del segrest de connexions SSL amb sslstrip, així com de les diverses concessions a la usabilitat que es van haver de prendre durant el disseny del protocol:

Accepting the expired certificate is a browser problem. We had this fight early on in the Internet days: What do we tell the user to do when there is an expired certificate? Security professionals always struggle with the general public, because usability always wins. When you get an expired certificate, the site owner or organization would always prefer to allow the user to do things rather than disallow. This is just an unfortunate fact.

sslstrip 0.1 és una eina que segresta el tràfic HTTP d'una xarxa, identifica els enllaços i redireccions HTTPS i ofereix una mostra de com realitzar atacs "man-in-the-middle" en les connexions SSL. És l'eina que serveix com a prova de concepte de la xerrada feta al darrer Blackhat.

El vídeo de la xerrada també està disponible.

Perspectives és una extensió per a Firefox 3.0 que dóna elements de judici en la comunicació SSL, especialment quan es fan servir certificats autosignats.

Perspectives incorpora el concepte de "notari de xarxa" que permet garantir que el certificat no ha variat i és el mateix utilitzat en les connexions. D'aquesta forma, s'evita que l'usuari hagi de comprovar manualment que el certificat presentat és el que esperava i no hi hagi cap mena de suplantació.

Així, amb el connector activat no s'utilitza la pantalla d'error de seguretat que mostra per defecte el Firefox 3.0 espantant a l'usuari sobre la legitimitat del servidor al que es connecta. En lloc d'això, fa una consulta als "notaris de xarxa" preguntant quines referències tenen.

Si les referències són vàlides, Perspectives permet l'accés al lloc web, informat discretament a l'usuari:

La importància d'això és que s'ha realitzat una verificació del certificat sense la intervenció de l'usuari. Segons un estudi del 2007, una gran majoria dels usuaris (40% en el cas de Firefox 2.x) senzillament ignoraven o contestaven de forma automàtica les preguntes de seguretat, sense tenir consciència de les implicacions de seguretat que implicava la seva resposta.

En el cas dels certificats signats per una autoritat de confiança, el problema és relativament petit: el certificat ja ha estat validat per algú de confiança. Però a molts llocs que fan servir certificats autosignats, com poden ser moltes intranets, l'usuari no tenia cap mecanisme senzill de fer la validació.

Per això és d'interès aquest concepte introduït per Perspectives: és el propi navegador qui valida aquests certificats.

Més detalls sobre el funcionament dels notaris a "Perspectives: Improving SSH-style Host Authentication with Multi-Path Probing"