Un ejemplo de esto es la mala interpretación que recientemente se ha hecho sobre el impacto del cross-site scripting (XSS) sobre los sitios Web protegidos por Certificados Extended Validation (EV) Secure Sockets Layer (SSL). La discusión que se ha dado al interior de la industria acerca de este tema demuestra una falta de comprensión sobre las vulnerabilidades que están destinados a impedir los Certificados EV SSL y las vulnerabilidades que explota el XSS.
Cuando alguien que usa Internet Explorer 7 o la última versión beta de Firefox 3 inicia sesión en un sitio Web protegido por Certificados EV SSL, el navegador registra el certificado y la barra de direcciones se pone de color verde, al tiempo que suministra información sobre el propietario legítimo de ese sitio Web. Esta barra de direcciones verde significa que una compañía de seguridad externa y confiable ha investigado y verificado la propiedad de ese sitio Web. De este modo, EV SSL le brinda a la industria un arma importante para proteger a los consumidores cuando ingresan a sitios Web fraudulentos cuyas identidades son desconocidas.
La amenaza del XSS es resultado de la acción de hackers que se infiltran en los sitios Web e introducen un código malicioso que puede ser utilizado para diversas actividades criminales. Si bien es verdad que un sitio Web validado por un certificado EV SSL podría ser comprometido de esa manera, la amenaza del XSS se relaciona con la debilidad existente en las políticas de seguridad del propietario del sitio Web, como por ejemplo banners publicitarios de terceros mal asegurados. El XSS no está relacionado con un error a la hora de validar efectivamente la propiedad de un sitio Web.
Sugerir la existencia de una relación entre los problemas de seguridad online de EV SSL y las amenazas de XSS es como preguntarse por qué los chalecos anti-balas no protegen las piernas de un soldado. No lo hacen, pero nadie enviaría a un soldado a la batalla sin proveerle uno de esos chalecos.
Cuando la organización CA/Browser Forum desarrolló los lineamientos generales de los EV SSL, el objetivo era estandarizar procedimientos altamente confiables para verificar la identidad de los propietarios de sitios Web. CA/B Forum, una organización voluntaria dentro de la industria compuesta por autoridades de certificación y proveedores de navegadores de Internet, buscó fortalecer a los consumidores otorgándoles la capacidad única de decidir si confiaban en que una empresa particular sería segura para sus propios negocios.
Nunca se afirmó que los Certificados EV SSL cerrarían todas las puertas de los negocios en línea ni se garantizó que los sitios Web serían codificados de forma apropiada para prevenir las vulnerabilidades a la seguridad en línea.
En aquellos sitios que han sufrido el ataque XSS u otras violaciones a la seguridad, la barra de direcciones verde muestra de modo inequívoco quién es el responsable de los problemas de seguridad en el sitio Web. Y al identificar definitivamente a la empresa que opera el sitio, los visitantes tienen mayores posibilidades de juzgar qué empresas ofrecerán la seguridad online que corresponde y cuáles no. Por último, los lineamientos generales de los EV incluyen medidas de vigilancia que permiten que las autoridades de certificación puedan rápidamente revocar certificados emitidos de forma inapropiada o mal utilizados en sitios falsos o vulnerados.
Tal como sucede con muchas cosas en la vida, no existe una solución mágica para un problema en constante evolución como lo es la seguridad online. Los negocios online deben estar alertas para protegerse a sí mismos y a sus clientes del phishing, el XSS y otras amenazas.
Fuente: Verisign.
📬 Newsletter gratuito
Lo más relevante de tecnología y negocios digitales en español — cada día, en cinco minutos.
