Servidores web seguros
- Servicio de Informática y Comunicaciones
- Artículos
- Hemeroteca
- Servidores web seguros
¿Qué es un servidor web seguro? Certificados SSL
A veces, se dice que un servidor web es seguro si las comunicaciones que se establecen desde los navegadores utilizan cifrado para garantizar la confidencialidad y además permite garantizar al usuario la identidad de dicho servidor.
Técnicamente esta funcionalidad se consigue mediante el uso de certificados SSL, que son algo similar a un DNI de los servidores. Este DNI, es un fichero que tiene una parte privada (que sólo tiene dicho servidor) y que permite sellar todas sus comunicaciones, incluyendo su nombre de dominio. De este modo si alguien modificase la información el sello no sería válido y nos daríamos cuenta de que algo ha pasado.
Como cualquiera podría crearse un sello con el nombre que quiera (sería el equivalente a crearse un DNI propio), sólo se confía en los emitidos por entidades de confianza, denominadas Autoridades de Certificación o CA por sus siglas en inglés. Estas entidades exigen que el solicitante pueda demostrar que es el propietario del nombre del servidor para el que se solicita el certificado.
Los navegadores tienen instaladas las Autoridades de Certificación de confianza de modo que se pueden verificar los certificados de los servidores a los que nos conectamos y nos avisarán si no son válidos y por lo tanto nos estamos conectando con un impostor (cuyo nombre técnico es phising).
¿Cómo saber a qué servidor nos conectamos?
Para saber a qué servidor nos estamos conectando realmente, debemos prestar atención a la información que presenta el navegador en la URL o dirección que nos está mostrando.
Si el servidor no utiliza comunicaciones seguras, sólo se mostrará la información sobre el nombre del servidor, y por lo tanto no se garantiza la privacidad de la conexión.
Si el servidor utiliza comunicaciones seguras, esta información puede aparecer de dos formas:
que indica que las comunicaciones son seguras, garantizándose la privacidad y que el servidor es el que figura en la dirección. Sin embargo, algunos atacantes aprovechan la similitud de algunas letras, para utilizar nombres parecidos a los reales y engañar a los usuarios (p.e. uc3nn.es, usando dos n en lugar de la m) en los ataques.
Además, algunos servidores utilizan certificados de validación extendida. Para obtener estos certificados debe demostrarse que el solicitante está autorizado para solicitar certificados en nombre de la organización, y los navegadores muestran información sobre la entidad propietaria del servidor.
En este caso, los atacantes lo tienen mucho más complicado. Por eso este tipo de certificados es empleado en aquellos servidores que solicitan contraseñas u otro tipo de datos sensible.
¿Qué certificados empleamos en UC3M?
En la UC3M utilizamos certificados emitidos a través del acuerdo de RedIRIS con TERENA y emitidos por la FNMT para algunos servidores corporativos.
¿Qué hacer si detecto un servidor web con phising, que simula ser de la universidad?
Si ves un servidor que simula ser de la Universidad, debes notificarlo lo antes posible al Grupo de Seguridad, dependiente del Servicio de Informática.
Para ello puedes enviar un correo a la dirección cert@uc3m.es con una breve descripción y la dirección del servidor.
También puedes utilizar el formulario genérico de comunicación de incidentes de seguridad, disponible en https://aplicaciones.uc3m.es/formulario/IncidentesCert
Se realizarán acciones para:
- Impedir el acceso al servidorde phising desde la red UC3M
- Notificar a los responsables del servidor de que alojan un servidor utilizado para phising
- Publicar la información del sitio falso, para que los navegadores avisen a los usuarios que intenten acceder a dicho sitio.
¿Qué hacer si he enviado mi contraseña a uno de estos servidores falsos?
Si por error has enviado tu contraseña a algún servidor falso, debes cambiar inmediatamente la contraseña comprometida.
Si es la contraseña corporativa, puedes hacerlo a través del servicio https://www.uc3m.es/cambiatuclave
No olvides notificar al Grupo de Seguridad la dirección del servidor falso, para bloquearlo.
Si se trata de una contraseña en otro servicio o entidad, debes ponerte en contacto con dicha entidad para que te indique los pasos a seguir para cambiar la contraseña.
Además, simpre puedes activar la verificación en dos pasos, que minimiza el impacto derivado de que un intruso conozca tu contraseña. Puedes obtener información sobre esta funcionalidad en https://www.google.es/landing/2step/
16 de mayo de 2017
Servicio de Informática y Comunicaciones
Universidad Carlos III de Madrid
- Es fnecesario garantizar la privacidad de la comunicación y la identidad del servidor.
- Los certificados SSL permiten ofrecer ambas prestaciones.
- Hay que confirmar que el servidor pertenece a la organización a la que deseamos conectarnos.