Buscar
Cerrar este cuadro de búsqueda.
Categorías
Protección de datos

Entornos digitales seguros, ¿cómo identificarlos?

La banca y las compras por Internet son cada vez más populares. En consecuencia, también se ha acentuado la preocupación por la seguridad de los entornos digitales.

Las plataformas de banca por Internet y los comercios electrónicos deben garantizar que el intercambio de datos se realiza de forma segura, ofreciendo a sus clientes la tranquilidad de saber que sus datos (como tarjetas de crédito y contraseñas) no serán interceptados.

Cómo identifican los clientes los entornos digitales seguros

En el caso de las compras en línea, los clientes suelen elegir grandes tiendas online o seguir recomendaciones de conocidos. Esto les da la idea de que navegarán en entornos digitales seguros.

La experiencia de compra puede decir mucho sobre la fiabilidad de una tienda online, pero no lo dice todo, ya que algunos aspectos pueden ser fundamentales a la hora de identificar si ese entorno es realmente seguro para realizar este tipo de transacciones.

SSL (Secure Socket Layer) es una de las formas más utilizadas para hacer seguros los entornos digitales, ya que utiliza la autenticación para proteger el contenido del intercambio de mensajes entre clientes/vendedores, por ejemplo.

En resumen, el sitio y el usuario hacen una negociación de intercambio de claves, también conocida como apretón de manos. A continuación se describe brevemente este proceso:

  1. El cliente envía un mensaje para iniciar la negociación. Este mensaje le informa de algunos de los protocolos y cifrados que admite el cliente;
  2. El servidor envía un mensaje con el protocolo y el cifrado para iniciar la negociación;
  3. El cliente comprueba que el certificado digital del servidor es de confianza;
  4. El cliente envía un número aleatorio cifrado con la clave pública del servidor;
  5. El servidor, situado en entornos digitales seguros, recibe la información y la descifra para averiguar el número aleatorio generado;
  6. El cliente envía un mensaje de fin de negociación;
  7. El servidor envía un mensaje de fin de negociación;
  8. A partir de ese momento, el cliente y el servidor pueden chatear utilizando la clave basada en el número aleatorio cifrado.

Mediante este sistema de cifrado e intercambio de claves, SSL garantiza que:

  • Sólo el cliente puede descifrar el contenido de un mensaje cifrado.
  • Todos los datos que se intercambian en el proceso se protegen en entornos digitales seguros.
  • El cliente tiene la garantía de que el servidor es quien dice ser.

infografía HSM Moderno

Las famosas cerraduras de sitios web

Cuando se utiliza SSL, el servidor web muestra algunas características que ayudan al cliente a identificar su seguridad, como los famosos candados de las páginas web.

Estos candados suelen estar junto a la URL, lo que también puede ayudar a identificar entornos digitales seguros. Al fin y al cabo, los sitios que empiezan por “https://”(Hyper Text Transfer Protocol Secure – nótese que la “s” es de seguridad) indican entornos protegidos, y cualquier transacción que se haga en ellos estará encriptada.

Antes de realizar cualquier transacción financiera en Internet, ¡tenga en cuenta estos consejos! En otras palabras, busque el candado y compruebe que la URL empieza por “https://”.

Para conocer las soluciones de certificación digital que garantizan entornos digitales seguros, no deje de visitar el sitio web de Eval.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Google Chrome y el mensaje “Su conexión no es privada

Passados quase 2 meses desde o lançamento da versão 58 do Google Chrome, lançada em 25 de abril desse ano, ainda há muita gente por aí encontrando a mensagem “Sua conexão não é particular” com o código de erro NET::ERR_CERT_COMMON_NAME_INVALID ao acessar sites com cadeados (sites protegidos pelo protocolo SSL ou TLS).
Su conexión no es privada
Mas o que essa mensagem no Google Chrome realmente significa e como ela surgiu? Bem, primeiramente é preciso saber o que acontece quando os navegadores web acessam um site protegido por SSL.

Certificado de servidor

Há uma série de verificações de segurança nos navegadores. Dentre elas, a mais importante para os propósitos dessa explicação é a verificação da validade do certificado apresentado pelo servidor. Essa verificação tem o objetivo de determinar se o certificado apresentado pelo servidor que hospeda o site é válido. Pode-se verificar no Google Chrome, por exemplo, se o certificado foi emitido por uma Autoridade Certificadora confiável, se sua assinatura está válida, se o propósito de uso do certificado está correto, se a URL para o qual o certificado foi emitido corresponde à URL do site, etc. Vamos entender melhor: quando o navegador web acessa o servidor na URL https://www.meusite.com.br, “https” indica que deve ser utilizado o protocolo HTTPS e www.meusite.com.br indica o nome do servidor na internet. Assim, quando o protocolo SSL é ativado, o navegador web inicialmente recebe o certificado digital do servidor. Em seguida, inicia o procedimento de sua validação. Como informado anteriormente, uma das etapas da verificação é determinar se a URL do servidor é a mesma para a qual o certificado foi emitido. Por exemplo, o certificado do servidor do Google Chrome possui a informação da URL do servidor em dois locais: no campo Requerente e no campo de extensão Nome Alternativo para o Requerente:

Campo del demandante:

  • CN = *.google.com;
  • O = Google Inc;
  • L = Mountain View;
  • S = California;
  • C = EE.UU.

Nombre alternativo del campo del solicitante:

  • Nombre DNS=*.google.com;
  • DNS name=*.android.com.

Cómo validar un certificado y un servidor

Agora que sabemos parte do que acontece quando acessamos um site protegido por SSL, entra em cena o documento RFC 2818. Este documento dá instruções sobre como os certificados digitais de servidores devem ser validados. Ele nada mais é do que um tipo de especificação pública para os fabricantes de software. Na seção 3.1 da RFC 2818 é possível encontrar as duas formas de identificação da URL do servidor que podem ser utilizadas em um certificado digital:
  1. En el componente Nombre común (CN) incluido junto al nombre de la entidad solicitante (campo Asunto );
  2. Nombre alternativo para el campo de extensión Solicitante (o Nombres alternativos de asunto).
Common Name é utilizado há bastante tempo como a forma principal de identificação. Além disso, sua visualização é bem intuitiva.

Propuesta de alternativa

No início desse ano começou um extenso debate sobre a remoção do suporte a validações baseadas somente no Common Name. No lugar dele se propunha adotar o Subject Alternative Names. Podemos discutir se essa atualização está de acordo com todas as especificações necessárias, ou se realmente traz benefícios para a segurança. Entretanto esse assunto é mais abrangente e vamos deixar para uma próxima oportunidade. Nesse momento o importante é o Subject Alternative Names passou a ser obrigatório no Google Chrome. Agora é preciso que os certificados de SSL possuam a extensão Subject Alternative Names também. Do contrário, as validações de segurança realizadas pelo Google Chrome vão resultar no alerta “Sua conexão não é particular” com o código de erro NET::ERR_CERT_COMMON_NAME_INVALID. Assim, se você é responsável por servidores que apresentam esse tipo de problema com os certificados digitais, entre em contato com a Autoridade Certificadora de sua preferência e solicite um certificado contendo o campo Subject Alternative Names. Caso isso não seja possível imediatamente, mas mesmo assim você quer se livrar dessa mensagem, é possível sobrescrever o comportamento das verificações de certificados através da opção de configuração EnableCommonNameFallbackForLocalAnchors. Tome cuidado, pois como o próprio link menciona, essa opção não é recomendada. Essa opção de configuração valerá até a versão 65, sem data de lançamento prevista.

E-VAL Technology, una empresa del Grupo E-VAL

A E-VAL Tecnologia atua há mais de 12 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de instituições financeiras, educação e indústria. Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel. Eval, la seguridad es un valor.