A seguridade no navegador web

De Wiki do Pazo da Mercé

Mecanismos de cifrado e certificados dixitais

Un certificado dixital é un documento dixital (unha ristra de bytes) mediante a que unha entidade fiable, coñecida como autoridade de certificación (aínda que nos refiriremos a ela habitualmente como CA), garante que unha chave pública correspóndese con unha entidade concreta. Con entidade concreta moitas veces nos referimos a un nome de equipo ou un dominio de DNS, e desta forma poderemos asegurarnos de que nos estamos conectando a o equipo auténtico e que a información que enviamos só poderá ser recibida por ese equipo. O formato estándar que máis se usa para os certificados dixitais é o X.509. Segundo este formato, o certificado con unha serie de campos entre os que destacan a versión, o número de serie, a validez do certificado, o seu emisor (a CA que o emite), o suxeito para o que se emite o certificado e a chave pública do suxeito.

Proceso de xeración e comprobación dunha firma dixital

Os certificados dixitais son utilizados nos métodos de cifrado asimétricos ou de chave pública, que baséanse na utilización dun par de chaves: A chave pública, que como o seu nome indica é pública e pode ser coñecida por calquera, e a chave privada que só pode ser coñecida polo seu propietario. Estas chaves teñen as propiedades de que a información cifrada usando a chave pública só pode ser descifrada coa chave privada, mentres que unha información cifrada coa chave privada só pode ser descifrada usando a chave pública. Desta forma, cando un equipo cifra unha información utilizando a chave pública do destinatario (que obterá dun certificado dixital), só o destinatario poderá descifrar a mensaxe coa súa chave privada (que só el coñece), e polo tanto estamos garantindo a confidencialidade da información. Por outra banda, cando un equipo cifra unha mensaxe coa súa chave privada, calquera pode descifralo usando a súa chave pública, pero estamos garantindo a identificación e autenticación do remitente, dando lugar á firma dixital.

O uso de certificados dixitais nos dous equipos que establecen unha comunicación, e o uso dos métodos de cifrado de chave pública, permiten garantir todos os requirimentos dunha conexión segura. A combinación dos certificados dixitais e as entidades necesarias para a súa emisión cos métodos de cifrado e chave pública xunto co hardware e as políticas de seguridade que permiten levar a cabo as operacións de cifrado de xeito seguro conforman o que se coñece como a Infraestrutura de Chave Pública (PKI). Na seguinte imaxe móstranse os compoñentes básicos dunha PKI:

Un usuario solicita un certificado dixital a unha autoridade de rexistro (RA), que se encarga da verificar a autenticidade do usuario, e enviar a súa verificación á autoridade de certificación (CA), que emite o certificado para o usuario. Con este certificado, o usuario pode firmar dixitalmente documentos, xa que cifrándoos coa súa chave privada e enviando o seu certificado a autoridade de validación (VA) poderá confirmar que realmente é o usuario o que emitiu o documento.


Características das conexións https. Navegación segura

Cando accedemos a unha páxina web na que podemos introducir información confidencial (contrasinais, datos persoais secretos, etc.), debemos comprobar que o acceso á páxina se está facendo usando https. Para facelo, debemos asegurarnos de que:

  • A dirección que aparece na barra do navegador comeza por https://.
  • Aparece un candado, que dependendo do navegador usado pode estar na parte superior ou inferior da pantalla.
  • Se picamos no candado, podemos ver a información do certificado dixital que autentifica ao servidor que nos estamos conectando e que se utiliza para cifrar a información intercambiada entre o noso equipo e este servidor, e que ninguén poida así espiar o que introducimos ou visualizamos na páxina.

Na seguinte imaxe pódense apreciar estes tres elementos (o candado na parte inferior dereita, a dirección https e a información do certificado dixital):

Coa navegación segura (usando https) temos as seguintes garantías:

  • A información intercambiada entre o noso equipo e o servidor co que nos conectadas transmítese a través de Internet cifrada e alguén que a capture non poderá entender o seu significado.
  • O certificado dixital garantiza que o servidor ao que nos conectamos é realmente o servidor do dominio que escribimos no navegador (www.caixanova.es, www.sergas.es, etc.). En caso de que non fose así, ou de que o certificado dixital estivese caducado, ou se o certificado non fose emitido por unha Autoridade de Certificación válida, o navegador mostraría un aviso para que sexa o usuario o que decida se quere establecer a conexión de todas formas:

Configuración dos navegadores web

Destacaremos algunhas opcións importantes que podemos configurar para personalizar o seu funcionamento e aumentar a seguridade na navegación (a maioría delas atoparémolas en Firefox no menú Herramientas->Opciones e en Internet Explorer en Herramientas->Opciones de Internet):

  • Páxina de inicio
  • Bloqueo de ventás emerxentes
  • Manexo do historial de navegación
  • Xestión de marcadores
  • Almacenamento de contrasinais e datos de formularios
  • Xestion de cookies
  • Xestión da caché do navegador
  • Manexo dos certificados dixitais válidos para o navegador
  • Manexo de complementos e plugins
Traído desde "http://centros.edu.xunta.es/iespazodamerce/wiki/index.php/A_seguridade_no_navegador_web"
Ferramentas persoais
Crear un libro