Cuando navegamos por las diferentes webs, generalmente hacen uso del protocolo HTTPS para proteger la comunicación desde el origen (navegador web del usuario) hasta el destino (servidor web de la página web en cuestión). Gracias al protocolo HTTPS, tendremos confidencialidad de todos los datos intercambiados y autenticidad de los datos transmitidos. Cuando tenemos el protocolo HTTPS es necesario hacer uso de un certificado digital, ya sea autofirmado (que dará error en el navegador del cliente) o un certificado emitido por una Autoridad de Certificación (CA). Hoy en RedesZone os vamos a enseñar dos métodos para ver el certificado TLS SSL en el navegador web Google Chrome, para comprobar si es confiable, cuándo caduca y otros datos internos del propio certificado.
El proceso para ver el certificado digital SSL TLS de las diferentes webs es exactamente igual si el certificado es autofirmado, si es un certificado digital caducado o revocado, y también si es un certificado que está vigente actualmente y que no tiene ningún problema.
Un detalle muy importante es que, cuando accedemos a una web con HTTPS casi siempre va a utilizar un certificado digital que sea válido, emitido por una CA (Autoridad de Certificación de confianza) y que no ha sido revocado ni caducado, por lo que no nos saldrá ningún tipo de aviso indicándonos que el sitio web no es seguro. En caso de que salga un aviso indicando que el sitio no es seguro, vamos a poder examinar el certificado digital para ver qué está pasando.
En nuestro caso, nos hemos encontrado en muchas ocasiones que un sitio web es legítimo, pero se han olvidado de renovar el certificado SSL/TLS, por lo que automáticamente para de ser un sitio seguro a ojos del navegador web, a un sitio inseguro porque el certificado digital ha caducado. De cualquier modo, hay diferentes alternativas que podemos usar en todo momento para saber si tiene el certificado SSL/TLS, y así salir de dudas.
¿Por qué importan?
En este caso, estos certificados juegan un papel clave en cuanto a la seguridad. Más que nada, porque si navegas en una página web que no está cifrada, lo cierto es que tus datos podrían quedar expuestos a terceros o ciberdelincuentes. De ahí que sea importante que las páginas cuenten con un certificado digital SSL TLS. Además, un punto a destacar es que SSL es la versión más antigua de esta, mientras que TSL es la opción más avanzanda y reciente del protocolo de seguridad.
Por ejemplo, si vamos a hacer un pago con tarjeta en una web que no cumple este requisito, lo cierto es que la información no va a estar cifrada y, entonces, un ciberdelincuente podría acceder a dicha información y conseguir robarte los datos bancarios.
Además de este tema, también tienen importancia a la hora de usar un servicio de mensajería o, incluso, las redes sociales. Y todo porque si lo que enviamos a otras personas no están cifrado bajo estos certificados, entonces una tercera persona que tenga los conocimientos necesarios podría acceder y leer lo que hemos enviado a nuestros amigos, familiares, etc. De ahí la importancia de que las páginas web hoy en día cuenten con certificados SSL. De lo contrario, será mejor no usar dichas páginas.
Para tener una idea más claro, hay sitios web que deberían tener sí o sí este certificado, de lo contrario, lo cierto es que nos debería extrañar y advertirnos de que algo no va bien. En este estas páginas web deben estar:
- Tiendas online o páginas en las que se pueda realizar cualquier tipo de pago.
- Páginas en las que soliciten datos a los usuarios.
- Sitios webs en las que haya formularios e intercambio de datos por archivos que se puedan descargar.
- Páginas en las que se permite que los usuarios puedan generar y gestionar perfiles tanto de manera pública como priada.
- Sitios web en los que se pueden realizar diferentes trámites online.
No obstante, es bastante raro encontrar una web importante o con cierto renombre que no cuente con esta característica en concreto. Y más porque los buscadores como Google, entre otros, lo cierto es que posicionan en mejor o peor lugar las páginas web que no tengan este certificado. Al igual que ya los navegadores advierten de las páginas que no son seguras, ya que no cuentan con este certificado de seguridad.
Ver el certificado a través de la barra de direcciones
Si nos metemos en una web cualquiera con el protocolo HTTPS, podremos ver un «candado» justo a la izquierda del dominio web al que nos hemos metido. Si tenemos un candado cerrado significa que el certificado digital es correcto y está vigente, por supuesto, el certificado no ha sido revocado.
Sin embargo, si aparece un mensaje de «No es seguro» es posible que estemos ante un certificado autofirmado, un certificado que ha sido revocado o que ha caducado, por lo que en estos casos deberíamos tener precaución. Es posible que nos estén haciendo un ataque Man in the Middle en nuestra conexión, y un ciberdelincuente esté entre nuestra conexión y la web, con el objetivo de robarnos información.
En la siguiente captura podéis ver que el acceso a nuestra web indica que es «segura», y es que el certificado utilizado está vigente y no ha sido revocado. También nos dará acceso directo a las cookies de las diferentes webs e incluso tendremos un acceso directo hasta el menú de «Configuración de sitios».
Si pinchamos en la primera opción de «La conexión es segura» nos abrirá un nuevo menú que nos dirá que la conexión es segura, también nos advierte que toda la información como contraseñas, números de tarjetas de crédito y otra información es privada cuando se envía al sitio web al que nos hemos metido, además, también nos indica que el «Certificado es válido«. Si pinchamos en esta última opción de «El certificado es válido» nos llevará directamente a un menú nuevo donde podremos ver todos los detalles del certificado digital.
En el menú desplegable nos dará toda la información sobre el certificado digital. Por ejemplo, el certificado de nuestras webs está emitido por la popular Autoridad de Certificación Let’s Encrypt, nos indica que ha sido emitido por R3 y que este certificado es válido desde el 24 de enero de 2022 hasta el 24 de abril de 2022, es decir, los habituales 3 meses que nos proporciona esta CA como máximo.
Si pinchamos en la sección de «Detalles» podremos ver la versión del certificado, V3, que es la habitual, también nos indicará el algoritmo de firma que es sha256RSA e incluso nos indicará información más avanzada de este certificado digital SSL TLS. En este menú podremos ver la longitud de la clave pública del certificado digital, datos de los diferentes nombres DNS (si se ha realizado la verificación a nivel de DNS) y también podremos ver la huella digital entre otras características.
Finalmente, en la pestaña de «Ruta de certificación» podremos ver todo el árbol de CA que tenemos hasta nuestro certificado digital, y también nos indicará el estado del certificado, en nuestro caso es un certificado válido.
Una vez que ya hemos visto cómo ver todos los datos del certificado digital a través del menú del «candado», vamos a verlo ahora a través de las «Opciones de desarrollador» de Google Chrome.
Ahora bien, este mismo proceso se puede seguir a través de otros navegadores. Aunque, en este caso, lo hemos explicado con sumo detalle de Google Chrome. Pero, eso no te impide llegar a comprobar el certificado en cuestión desde el navegador que usas de manera predeterminada en tu PC.
Desde las «Opciones de desarrollador»
Cuando estemos dentro de la web podremos presionar las teclas CTRL + SHIFT + I para que nos abra el menú de desarrollador de Chrome. En este menú tendremos que irnos a la pestaña de «Security» donde podremos ver los datos de la conexión HTTPS que se ha establecido. En este menú podremos ver que el certificado digital es válido y se confía en él gracias a la CA de Let’s Encrypt. También podremos ver que la conexión es segura, ya que utiliza el protocolo TLS 1.3 con AES-256-GCM como algoritmo de cifrado simétrico, es decir, tenemos la mejor seguridad posible a nivel de TLS, ya que esta última versión es mucho más eficiente que TLS 1.2. Por último, nos informa que todos los recursos de la web están cifrados también.
Si queremos ver el certificado digital, simplemente tenemos que hacer clic en el botón de «View certificate», y automáticamente se nos desplegará una ventana con la misma información de antes. Por lo que es otra de las diferentes alternativas que tenemos disponibles como usuarios a la hora de revisar si cualquier sitio web visitamos tiene o no el certificado SSL.
Con una web de terceros
Si estás utilizando Chrome, hay más alternativas que los dos métodos anteriores. Y es que hay una tercera vía con la que se puede comprobar de una manera eficaz y rápida si una web tiene o no SSL. Básicamente se trata de recurrir a páginas web que mediante el dominio pueden analizar si tiene o no este certificado. Por lo que es una vía más rápida, ya que no tienes que seguir ningún proceso en particular, este tipo de herramientas funcionan escaneando directamente la dirección URL de la web que hemos visitado y de la que queremos saber si tiene o no el certificado.
Por ejemplo, una de las webs a la que puede recurrir en cualquier momento es SSL Shopper. Desde esta página solo se tiene que pegar la URL de la web que quieras visitar y te dirá la información que necesitas. Su funcionamiento es básico, además de que apenas tarda unos segundos en mostrar si es válido y confiable.
Y esta web es una de las muchas alternativas que hay disponibles, ya que también puedes acudir a herramientas online como DigiCert o GeoCerts. Por lo que no solamente puedes acudir a una página web con un comprobador de certificados SSL o probar los métodos anteriores desde Chrome. Además de que estas no son las únicas alternativas disponibles para comprobar si una web en concreto tiene el certificado correspondiente. En cualquier caso, es una buena forma de estar seguros.
¿Qué ocurre si caduca un SSL?
Que los certificados SSL caduquen es algo normal, y las compañías y propietarios de páginas web suelen estar preparados para ello. Pero puede haber casos en los que esto no sea así. Esto puede traer problemas tanto a las páginas web como a los usuarios. Pero en muchas ocasiones esto se salda con un bloqueo en el acceso a la página para no correr riesgos. Las consecuencias pueden ser:
- Se reduce la confianza a medida que las páginas se vuelven inseguras.
- Bajan las ventas e ingresos con el aumento de abandono de las cestas.
- La marca y reputación de la empresa propietaria se ve devaluada, afectando negativamente a todo.
- El posicionamiento en los buscadores irá a peor. Hay que tener en cuenta que los buscadores, como el de Google, siempre están a favor de los sitios web que son seguros. Por esto mismo priman las búsquedas en todo momento de páginas que sean seguras.
- Datos no seguros. En el caso de que la web en cuestión no tenga un certificado SSL válido, entonces las contraseñas de usuario o la información personal corren el riesgo de quedar expuestas ante posibles ataques.
En cambio, para el usuario también puede traer problemas. Los cuales por lo general no llegan a ser peligrosos. Pero si pueden ser incómodos, sobre todo si es una página que usamos a diario para alguna tarea.
- Aparición de mensajes de error y advertencias al visitar los sitios. Y es que las personas que visiten una web en particular tendrán que ver estos mensajes de advertencia, por lo que lo más seguro es que abandonen la página web en cuiestión.
- Información que puede quedar comprometida a ataques Man-in-the-middle.
- Los usuarios quedan expuestos a fraudes y robos de identidad, con todo lo que eso conlleva para ellos.
La forma en la que los navegadores nos informa de que los certificados han caducado es muy variable. Pero puede darse el caso de que incluso con uno de estos, nos permitan seguir y acceder a la web. Lo cual no es para nada recomendable bajo ninguna circunstancia. En todo caso, estos normalmente nos dan información sobre los problemas en alguna pestaña para saber más. Pero hoy en día existen herramientas especializadas en gestionar los certificados SSL de forma automática, a la vez que el ciclo de vida de los mismos. Esto es de gran ayuda para las buenas prácticas de las páginas web, sobre todo cuando manejan datos privados de los usuarios que acceden.
¿Se pueden falsificar los certificados SSL?
La respuesta más sencilla, es que sí. Es posible falsificar certificados SSL. Pero se debe recalcar que estamos ante una actividad que aparte de ser ilegal, es muy peligrosa. Esta puede poner en riesgo la seguridad de los usuarios, y exponer datos confidenciales. En cambio, también se debe decir, que es técnicamente imposible falsificarlo mediante técnicas como «man-in-the-middle», o MiTM. En estos ataques, los atacantes interceptan las comunicaciones entre los clientes y los servidores, haciéndolas pasar por otro servidor que utiliza un SSL falso. Esto hace que el cliente confíe en este certificado, pero para que esto ocurra el atacante debe tener acceso a la clave privada del certificado original. Lo cual lo logran con diferentes técnicas de hacking avanzado.
En cambio, falsificar los SSL como tal, es extremadamente complicado de realizar, sobre todo para los sitios web que ya utilizan certificados de autoridades certificadoras que son confiables. Estas empresas de certificación, emiten los certificados SSL y verifican la identidad de los propietarios de los sitios web. Este proceso, se hace previamente a la emisión del propio certificado. Por lo cual, falsificar un certificado que proviene de una autoridad de certificación que es fiable, es muy complicado. Sobre todo, porque es una acción que requiere obtener un acceso a las claves privadas de la propia autoridad de certificación.
Es muy importante confiar en los certificados que estas entidades emiten, siempre y cuando sean fiables y puedan verificar que el sitio web se encuentra cifrado mediante el uso de HTTPS con un SSL válido. Si algún sitio web utiliza certificados SSL no firmados o de autoridades desconocidas, posiblemente no sea tan seguro. En ese caso, debemos tener mucha precaución con este sitio. Ante todo, la seguridad es algo que siempre debe estar presente. Entremos donde entremos, en cualquier parte de Internet.
Tal y como habéis aprendido, ver el certificado SSL TLS de una determinada página web en Google Chrome es realmente sencillo siguiendo apenas unos pocos pasos desde el navegador, y se puede hacer a través del menú del «candado» típico, o directamente a través de la consola para desarrolladores. Nuestra forma favorita es utilizar la consola para desarrolladores, porque también nos indicará si la conexión se ha establecido utilizando TLS 1.2 o TLS 1.3, además, nos informará sobre la suite de cifrados que se ha elegido para establecer la conexión segura con la página web.