CIBERSEGURIDAD

RSAC: HTTPS no va a ninguna parte hasta que se hagan las cosas mejor

0 74 1 minuto de lectura


El camino hacia una web segura está plagado de dificultades tanto en la tecnología como en la práctica.
Hablando en la RSA Conference en San Francisco, Andy Ellis, director de seguridad de Akamai, dijo que si bien parece que activar HTTPS y lograr la privacidad está casi a nuestro alcance, no lo es, ya que todavía hay confusión entre el secreto y la privacidad.
En su charla, titulada «El largo camino hacia una web segura», Ellis dijo que lo que nos está frenando en HTTPS en todas partes es la conexión «floja» entre HTTPS y TLS, y la conexión entre IP y TLS donde no está seguro de si confiar en un cliente o servidor.
Dijo: “No es solo un problema de la autoridad de certificación, es un problema del navegador, ya que debe haber una raíz de confianza, y se puede confiar en usted para todo o para nada. Con el proxy TLS, vimos esto con Superfish y lo que sucedió fue que si había ido a un sitio web válido, un proxy presentaba un certificado válido, y el almacén de certificados de usuario estaba comprometido para agregar una nueva CA y veía la búsqueda de DNS y creaba un certificado para la entrada. y lo satisfizo «.
Ellis dijo que «el pecado de Superfish fue no ejecutar un proxy», ya que se hizo una solicitud que no era segura y nadie se habría enterado.
Mirando hacia el futuro, Ellis dijo que necesitamos llegar a TLS ya que no es un desperdicio y es necesario, pero no es suficiente. “Pasamos los últimos 20 años ignorando las criptomonedas y creemos que la compatibilidad hacia atrás se ha ido y hace 15 años creíamos en SSL 2.0, pero tenemos que morder la bala y en SSL 3.0 y TLS 1 también”, dijo.
“Si estamos escribiendo un nuevo software, debemos entender que todo el cifrado es malo y que es solo una cuestión de cuándo. Si no estamos preparados para agregar un nuevo cifrado y deshacernos de lo que admitimos hoy, y si no es parte del problema, prepárese para eliminarlo «.
Ellis concluyó diciendo estratégicamente, la seguridad no es privacidad, así como no puedes escuchar lo que alguien está diciendo, eso no significa que no lo hagas, quién está hablando y de qué se trata.
«Si diseñas un sistema, ¿cuáles son tus objetivos reales?», Dijo. «Le recomiendo que mire el mundo del análisis de seguridad y comprenda cuál es su pérdida inaceptable».

Publicaciones relacionadas

Malware enviado a través de enlaces falsos de TikTok

BSides London anuncia la primera conferencia magistral

1.3 millones de cuentas de Havenly filtradas en línea

Los profesionales de TI de EE. UU. Tienen menos confianza en la alfabetización en ciberseguridad a nivel de la junta que sus homólogos del Reino Unido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar