Todo el mundo tiene claro que el candadito en una conexión web indica que la cosa es ’segura’ (aunque nadie suele tener claro mucho más). No creo que la mayoría de esa gente vaya a leerlo pero me gustó mucho el enfoque de The First Few Milliseconds of an HTTPS Connection donde va mostrando paso a paso (o casi) los procesos que van sucediendo cuando se establece una conexión de estas. Desde luego, me lo guardo para futura referencia.
Entradas etiquetadas ssl
La criptografía en las administraciones
El viejo dicho viene a ser: tu seguridad es tan buena como lo más inseguro que tengas (el eslabón más débil será el que haga que se rompa la cadena). En ¿Es segura la criptografía en la administración Española? hacen un análisis de los protocolos (relacionados con SSL).
Lo que no todo el mundo sabe es que SSL como tal, no es un protocolo único, mas bien es una enorme familia de protocolos, empezando por que existen 4 versiones (SSL v1, SSL v2, SSL v3 y TLS) además en cada versión se pueden negociar diferentes algoritmos con sus correspondientes longitudes.
Podriamos decir que el mundo SSL es como el mundo de las hipotecas, existen algoritmos AAA fiables y algoritmos subprime inseguros y poco aconsejables.
Yago Jesús ha probado unos cuantos sitios para ver cuántos de ellos permiten versiones del protocolo con criptografía débil y lo que ha encontrado es que en el mejor de los casos permiten sólo 2 algoritmos inseguros pero en algún caso permiten hasta 15. Es posible descargar un documento con los resultados detallados (OO.org).
