¿De quién nos fiamos?

Gracias al apunte de Enrique Dans en el que habla de el valor de ser la opción por defecto me acuerdo del apunte que yo publicaba aquí el otro día sobre el ataque a los certificados con MD5. No es exactamente lo mismo pero sí está relacionado.

En ese apunte comentaba el hecho de que los proveedores de navegadores web y sistemas operativos los que de manera habitual incluyen en las configuraciones predeterminadas un conjunto de certificados de CAs que ellos deciden que son de confianza, sin más.

CasiNadie desconfía de esos certificados que nuestros navegadores nos dicen que son de confianza pero dudo que mucha gente compruebe que lo son y simplemente nos fiamos.
Si el navegador dice que sí, es que sí.

La seguridad es una cuestión de confianza.

Los usuarios ponemos la seguridad de los accesos a nuestro banco, la de nuestras compras online, los billetes que compramos, nuestras transferencias de datos personales, … en fin, todas las idas y venidas de nuestros datos y los datos en sí en las manos de Microsoft y de Firefox principalmente y no sólo eso, sino que luego se permiten el lujo de implementar medidas y decir que, los sitios que no utilizan certificados de los que ellos dicen que son de confianza pueden ser peligrosos, falsos, maliciosos, …

Ahora bien… ¿Sería factible hacer que los usuarios tuvieran que comprobar uno a uno la validez de todos certificados de los sitios web a los que se conectan? ¿Cuantos no pulsarían en “aceptar” directamente, sin preguntar ni comprobar nada?

Hay que valorar, si decido que mi proveedor de software decida por mi qué sitio es de fiar y qué sitio no o bien me dedico a comprobar todos y cada uno de los sitios a los que me conecto como si ninguno fuera confiable.

Al final la seguridad es una cuestión de confianza.

Dejar un comentario?

0 Comentarios.

Deje un comentario

A %d blogueros les gusta esto: