Así puedes ver el certificado TLS / SSL de las webs en Google Chrome

Cuando navegamos por las diferentes webs, generalmente hacen uso del protocolo HTTPS para proteger la comunicación desde el origen (navegador web del usuario) hasta el destino (servidor web de la página web en cuestión). Gracias al protocolo HTTPS, tendremos confidencialidad de todos los datos intercambiados y autenticidad de los datos transmitidos. Cuando tenemos el protocolo HTTPS es necesario hacer uso de un certificado digital, ya sea autofirmado (que dará error en el navegador del cliente) o un certificado emitido por una Autoridad de Certificación (CA). Hoy en RedesZone os vamos a enseñar dos métodos para ver el certificado TLS SSL en el navegador web Google Chrome, para comprobar si es confiable, cuándo caduca y otros datos internos del propio certificado.

El proceso para ver el certificado digital SSL TLS de las diferentes webs es exactamente igual si el certificado es autofirmado, si es un certificado digital caducado o revocado, y también si es un certificado que está vigente actualmente y que no tiene ningún problema.

Un detalle muy importante es que, cuando accedemos a una web con HTTPS casi siempre va a utilizar un certificado digital que sea válido, emitido por una CA (Autoridad de Certificación de confianza) y que no ha sido revocado ni caducado, por lo que no nos saldrá ningún tipo de aviso indicándonos que el sitio web no es seguro. En caso de que salga un aviso indicando que el sitio no es seguro, vamos a poder examinar el certificado digital para ver qué está pasando. En nuestro caso, nos hemos encontrado en muchas ocasiones que un sitio web es legítimo, pero se han olvidado de renovar el certificado SSL/TLS, por lo que automáticamente para de ser un sitio seguro a ojos del navegador web, a un sitio inseguro porque el certificado digital ha caducado.

Ver el certificado a través de la barra de direcciones

Si nos metemos en una web cualquiera con el protocolo HTTPS, podremos ver un «candado» justo a la izquierda del dominio web al que nos hemos metido. Si tenemos un candado cerrado significa que el certificado digital es correcto y está vigente, por supuesto, el certificado no ha sido revocado. Sin embargo, si aparece un mensaje de «No es seguro» es posible que estemos ante un certificado autofirmado, un certificado que ha sido revocado o que ha caducado, por lo que en estos casos deberíamos tener precaución. Es posible que nos estén haciendo un ataque Man in the Middle en nuestra conexión, y un ciberdelincuente esté entre nuestra conexión y la web, con el objetivo de robarnos información.

En la siguiente captura podéis ver que el acceso a nuestra web indica que es «segura», y es que el certificado utilizado está vigente y no ha sido revocado. También nos dará acceso directo a las cookies de las diferentes webs e incluso tendremos un acceso directo hasta el menú de «Configuración de sitios».

Si pinchamos en la primera opción de «La conexión es segura» nos abrirá un nuevo menú que nos dirá que la conexión es segura, también nos advierte que toda la información como contraseñas, números de tarjetas de crédito y otra información es privada cuando se envía al sitio web al que nos hemos metido, además, también nos indica que el «Certificado es válido«. Si pinchamos en esta última opción de «El certificado es válido» nos llevará directamente a un menú nuevo donde podremos ver todos los detalles del certificado digital.

En el menú desplegable nos dará toda la información sobre el certificado digital. Por ejemplo, el certificado de nuestras webs está emitido por la popular Autoridad de Certificación Let’s Encrypt, nos indica que ha sido emitido por R3 y que este certificado es válido desde el 24 de enero de 2022 hasta el 24 de abril de 2022, es decir, los habituales 3 meses que nos proporciona esta CA como máximo.

Si pinchamos en la sección de «Detalles» podremos ver la versión del certificado, V3, que es la habitual, también nos indicará el algoritmo de firma que es sha256RSA e incluso nos indicará información más avanzada de este certificado digital SSL TLS. En este menú podremos ver la longitud de la clave pública del certificado digital, datos de los diferentes nombres DNS (si se ha realizado la verificación a nivel de DNS) y también podremos ver la huella digital entre otras características.

Finalmente, en la pestaña de «Ruta de certificación» podremos ver todo el árbol de CA que tenemos hasta nuestro certificado digital, y también nos indicará el estado del certificado, en nuestro caso es un certificado válido.

Una vez que ya hemos visto cómo ver todos los datos del certificado digital a través del menú del «candado», vamos a verlo ahora a través de las «Opciones de desarrollador» de Google Chrome.

Verlo a través de «Opciones de desarrollador»

Cuando estemos dentro de la web podremos presionar las teclas CTRL + SHIFT + I para que nos abra el menú de desarrollador de Chrome. En este menú tendremos que irnos a la pestaña de «Security» donde podremos ver los datos de la conexión HTTPS que se ha establecido. En este menú podremos ver que el certificado digital es válido y se confía en él gracias a la CA de Let’s Encrypt. También podremos ver que la conexión es segura, ya que utiliza el protocolo TLS 1.3 con AES-256-GCM como algoritmo de cifrado simétrico, es decir, tenemos la mejor seguridad posible a nivel de TLS, ya que esta última versión es mucho más eficiente que TLS 1.2. Por último, nos informa que todos los recursos de la web están cifrados también.

Si queremos ver el certificado digital, simplemente tenemos que hacer clic en el botón de «View certificate», y automáticamente se nos desplegará una ventana con la misma información de antes.

Tal y como habéis aprendido, ver el certificado SSL TLS de una determinada página web en Google Chrome es realmente sencillo, y se puede hacer a través del menú del «candado» típico, o directamente a través de la consola para desarrolladores. Nuestra forma favorita es utilizar la consola para desarrolladores, porque también nos indicará si la conexión se ha establecido utilizando TLS 1.2 o TLS 1.3, además, nos informará sobre la suite de cifrados que se ha elegido para establecer la conexión segura con la página web.

¡Sé el primero en comentar!