El Blog de Enrique Cortés

sábado, 22 de septiembre de 2007

Mejoras de seguridad HTTPS en Internet Explorer 7 y 8


El protocolo HTTPS utiliza el cifrado para asegurar el tráfico de Internet y protegerte contra el 'snooping' o el 'tarpering' (violación de los mecanismos o los procedimientos de seguridad establecidos con objeto de atacar un sistema). HTTPS utiliza cualquiera de los protocolos Secure Sockets Layer (SSL) o Transport Layer Security (TLS) para proteger los datos por Internet.

Para mejorar la seguridad y agregar nuevas funcionalidades, se pusieron en práctica una serie de cambios en la implementación HTTPS en Windows Internet Explorer 7. Los nuevos protocolos por defecto en IE7 e IE8 reducen la probabilidad de que alguien se aproveche de la configuración o de las debilidades del protocolo para interceptar o para modificar tráfico web. Las nuevas páginas de error que aparecen en IE7 e IE8 proporcionan una experiencia simplificada de usuario que te ayudarán a atenuar la ingeniería-social y los ataques de 'phishing'.

Este artículo te ayudará a entender cómo tratar el impacto de la compatibilidad de los cambios HTTPS en Internet Explorer. Tanto como administrador de red, como desarrollador de aplicaciones, como usuario de Internet Explorer, podrás experimentar el impacto de estas mejoras de seguridad HTTPS de las siguientes formas:


Síntoma: Al acceder a un sitio web configurado solamente mediante el protocolo SSLv2 (SSL versión 2), te aparecerá una página de error.

Causa: El protocolo SSLv2 fue deshabilitado por defecto en Internet Explorador 7. Este protocolo ha tenido ciertas vulnerabilidades de seguridad y ha sido depreciado por los protocolos SSLv3 y TLSv1.

- Si eres desarrollador de aplicaciones web y utilizas WININET para conectar con sitios seguros HTTPS, no utilices el protocolo SSLv2, utiliza los protocolos SSLv3 o TLSv1, más seguros.

- Si eres usuario final de IE, puedes habilitar en estos casos, el protocolo SSLv2 desde el panel de control de IE, en el menú Herramientas > Opciones de Internet > Opciones avanzadas > apartado seguridad.

- Si eres administrador de la red, puedes utilizar IEM (Mantenimiento de Internet Explorer) desde Directiva de grupo, para controlar las preferencias de usuario, que se registrarán en la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

SecureProtocols REG_DWORD

SSLv2, valor decimal 8 (0x008)
SSLv3, valor decimal 32 (0x020)
TLSv1, valor decimal 128 (0x080)
SSLv3+TLSv1, valor decimal 160 (0x0a0)

Para habilitar todos los protocolos, valor decimal 168 (0x0A8)


Síntoma: Al acceder a un sitio web HTTPS configurado para utilizar un cifrado más débil (40 y 56 bits de encriptación) en Windows Vista, te aparecerá una página de error.

Causa: En Windows Vista, se han deshabilitado los cifrados débiles y solamente se permite la encriptación fuerte por defecto.

- Si eres desarrollador de aplicaciones web y utilizas WININET para conectar con sitios seguros HTTPS, no utilices encriptación débil, utiliza 128 bits de encriptación, o superior, en el software del servidor web.

- Si eres administrador de red, configura el software del servidor web para ofrecer opciones más fuertes de cifrado. Si el servidor no está bajo tu control, ponte en contacto con un operador del servidor.

- Si eres usuario final de IE, no existe nada que pueda hacerse en este caso. Entra en contacto con el webmaster y solicita que ofrezcan un mayor nivel de cifrado.


Síntoma: Al navegar a un sitio web seguro HTTPS que presenta un certificado de seguridad que contiene errores, se exhibe una página de error.

Causa: Para mejorar la seguridad y la experiencia del usuario, Internet Explorer bloquea la navegación a los sitios HTTPS que presentan certificados de seguridad conteniendo errores. Este cambio sustituye la caja de diálogo modal que mostraba IE6.

- Si eres desarrollador de aplicaciones web, asegúrate que utilizas certificados de seguridad válidos, que no hayan expirado, y que sean emitidos por entidades emisoras de certificación de confianza. Asegúrate también de que la dirección expuesta en el certificado coincide con la del sitio web.

- Si eres usuario final de IE, no hay solución al problema si el certificado del sitio ha caducado; entra en contacto con el webmaster y solicita que actualice el certificado. Si la dirección en el certificado no coincide con la dirección del sitio web, puedes deshabilitar la advertencia de seguridad desmarcando la opción Advertir sobre la falta de coincidencia en la dirección de los certificados en el apartado Seguridad de la sección Opciones Avanzadas del panel de control de IE. No se recomienda cambiar este ajuste de seguridad. Si el certificado de seguridad no fue emitido por una entidad de certificación de confianza, puedes agregar esta entidad de certificación si realmente confías en ella. Confiar en una autoridad de certificación malintencionada puede poner tu equipo en peligro. Para agregar una autoridad de certificación de confianza, sigue estos pasos:

a) continúa la navegación de la página de error del certificado.
b) pulsa seguidamente en Error de certificado en la barra de direcciones.
c) pulsa en Ver certificados.
d) pulsa en Ruta de certificación y comprueba que realmente se trata de la entidad certificadora en la que vas a confiar.
e) pulsa en la pestaña General y en Instalar certificado. Sigue los pasos del Asistente para importación de certificados. Debes instalar el certificado en el almacén "Entidades emisoras raíz de confianza".
f) pulsa en Aceptar y en Siguiente.
g) pulsa en Finalizar. Recibirás un mensaje de seguridad en pantalla. Si realmente confías plenamente en esta entidad certificadora, pulsa en para instalar el certificado.

De todas formas, es posible que no llegue a instalarse dicho certificado si Windows no tiene la suficiente información como para asegurar que se trata de una entidad de confianza. En tal caso, únicamente queda la opción de descargar e instalar el certificado proporcionado por dicha entidad.


Síntoma: Al ver una página web que mezcla contenido HTTPS y HTTP (seguro y no seguro), aparece una barra de información en lugar de un diálogo modal como aparece en Internet Explorer 6 y versiones anteriores.

Causa: Para mejorar la seguridad y la experiencia del usuario, IE bloquea por defecto el contenido HTTP de las páginas HTTPS. Este cambio sustituye la caja de diálogo modal mostrada en IE6.

- Si eres desarrollador de aplicaciones web, asegúrate que las páginas HTTPS no contengan referencias enbebidas en los recursos tratados por el protocolo HTTP.

- Si eres administrador de red, o usuario final de IE, en la ficha Seguridad del panel de control de IE, elige el icono de Internet y pulsa en Nivel personalizado. En el apartado Miscelánea, habilita Mostrar Contenido Mixto. Si deshabilitas esta opción se bloqueará todo el contenido HTTP. De forma alternativa, como administrador puedes ajustar estas opciones, también, desde la Directiva de grupo.


Síntoma: Al navegar a un sitio web seguro HTTPS en Windows Vista, se realiza una comprobación de la revocación del certificado para determinar si el certificado sigue siendo válido.

Causa: En Windows Vista se han llevado a cabo mejoras en el funcionamiento del protocolo OCSP (Online Certificate Status Protocol), permitiendo a IE mejorar la seguridad mediante la comprobación de revocación por defecto.

- Si eres administrador de red, puedes configurar esta característica usando la directiva de grupo (gpedit.msc), siguiendo esta ruta:

Configuración de equipo \Plantillas administrativas \Componentes de windows \Internet Explorer \Panel de control de Internet \Página de Opciones avanzadas \Comprobar la revocación de certificados del servidor. Si deshabilitas la directiva, no se comprobará la revocación.

- Si eres usuario final de IE, y esta característica causa problemas de funcionamiento en tu entorno, puedes deshabilitarla desmarcando la opción Comprobar si se revocó el certificado de servidor, que encontrarás en el menú Herramientas > Opciones de Internet > Opciones avanzadas > apartado Seguridad.

*
*