Documentos de Académico
Documentos de Profesional
Documentos de Cultura
7) Criterios de Exclusión
TABLE I. ESTUDIOS PRELIMINARES Y TERMINOS
Los estudios que no han sido relevantes se los descarta
tomando en consideración el siguiente criterio: Las búsquedas
# Estudio Términos que se realizaron fueron avanzadas, tomando en cuenta el
E1 Securing online SSL; Security Online. título, resumen y las palabras clave.
B. Ejecución de la Revisión Sistemática de literatura los demás estudios que por sus similitudes no se los
Se especifica a continuación los criterios de selección de seleccionó. (Ver Tabla IV, V, VI, VII, VIII, IX, X, XI).
estudios, extracción de la información y las cadenas de
búsquedas aplicadas en cada exploración avanzada dentro de TABLA IV
la base de datos científicas. S1. DIGITAL CERTIFICATES: WORTH THE PAPER THEY’RE WRITTEN ON?
Información relevante - Describe las falencias encontradas en los
a los certificados SSL certificados digitales basados en una
Ejecución en la base de datos ACM infraestructura de clave pública en el 2011
- Muestra varias infracciones que afectó a las
(“Securing online” OR “Implementation of a security layer”) AC (Autoridades Certificadoras).
AND (“SSL OR SSL/TLS”) AND (“HTTPS” OR “HTTP”)
AND (“data security” OR “Information security”) AND Características clave - Utilizar el algoritmo HASH SHA-1
(“Infrastructure of Certificate” OR "Digital Certificates") para un certificado
SSL/TLS seguro
AND (“browser trust model”)
Ejecución de la selección de fuentes en IeeeXplorer Justificación de las - El algoritmo SHA-1 es menos vulnerable a
(Securing online OR Implementation of a security layer) AND características ataques de colisión y mejora el servicio en
confrontación con distintas amenazas.
(SSL OR SSL/TLS) AND (HTTPS OR HTTP) OR (Public - Un tipo de falencias son al utilizar antiguos
Key OR Private Key) AND (data security OR Information algoritmos de Hashing como MD5.
security) AND (Infrastructure of Certificate) AND (browser
trust model) TABLA V
S2. ONE YEAR OF SSL INTERNET MEASUREMENT
Ejecución de la selección de fuentes en ScienceDirect
Información - Evalúa la calidad de los servicios HTTPS
((“Securing online” OR “Implementation of a security layer”) relevante a los y su evolución.
AND (“SSL OR SSL/TLS”) AND (“HTTPS” OR “HTTP”) certificados SSL - Enumera las características básicas que
OR (“Public Key” OR “Private Key”) AND (“data security” los certificados SSL/TLS poseen y recalca
OR “Information security”) AND (“Infrastructure of las mejoras que se han venido
implementando
Certificate”) AND ("Digital Certificates") AND (“browser
trust model”)) Características - La longitud de clave no mínima de 2048
clave para un bits para certificados EV y de hosts.
certificado - TLS versiones 1.1. y 1.2 deben ser
Ejecución de la selección de fuentes en Springer
SSL/TLS seguro preferidos en comparación con los
((“Securing online” OR “Implementation of a security layer”) certificados SSL V3
AND (“SSL OR SSL/TLS”) AND (“HTTPS” OR “HTTP”) - Debe ser emitido por una AC reconocida
OR (“Public Key” OR “Private Key”) AND (“data security” por los navegadores
- Servidores admita extensiones SSL/TLS
OR “Information security”) AND (“Infrastructure of - Utilizar el certificado estándar X.509
Certificate”) AND ("Digital Certificates") AND (“browser
trust model”)) Justificación de las - Tamaños de claves, mejorando la
características robustez con mayor cifrado.
- No utilizar conexiones SSL V2 antiguas
1) Criterios de Selección de Estudios que son obsoletas
Para el cumplimiento del objetivo principal de resultados de la
búsqueda deben cumplir el siguiente criterio de selección: Los
artículos deben destacar la importancia de implementar los
certificados SSL. TABLA VI
S3. ANALYSIS OF THE HTTPS CERTIFICATE ECOSYSTEM
2) Extracción de la Información
Los criterios dados de inclusión, exclusión y de selección, Información - Estudio sobre HTTPS, enfatizado en las
relevante a los relaciones de confianza entre las autoridades
permitieron identificar los diferentes artículos y revistas certificados SSL raíz, autoridades intermedias y el usuario,
digitales con el fin de cumplir el objetivo planteado en esta con el fin de descubrir las prácticas que
investigación. Para la extracción importante de cada estudio se pueden poner la seguridad web en peligro e
utilizó los siguientes elementos: Información Relevante a los identificar problemas frecuentes de
configuración que conducen a errores que
Certificados SSL/TLS; Características claves para que un son vulnerabilidades potenciales.
certificado SSL/TLS seguro; Justificación de las - Entre junio de 2012 y agosto de 2013,
características seleccionadas. estudiaron 110 casos de análisis exhaustivo a
todos los hosts que se comunican por
C.Análisis de Resultados y Hallazgos HTTPS en el puerto 443, analizando dos
cuestiones importantes, la primera es la
En esta sección se realizó un análisis previo donde se evalúa seguridad en relación con las ACs y la
cada estudio discriminando artículos que tienen criterios ultima es las claves que se utilizan para
comunes, estos fueron descartados quedándose con los firmar certificados digitales que contienen
artículos más relevantes. Se enlistan 4 tablas con las etiquetas una mala seguridad de claves RSA de 1024
bits.
S1, S2, S3 y S4, que son 4 estudios seleccionados, descartando Características - Utilizar claves de cifrado mínimo de
clave para un 2048 bits.
certificado - Utilizar el algoritmo de firma SHA-1 y TABLA VIII
SSL/TLS seguro cifrado RSA como mínimo. S5. THE INCONVENIENT TRUTH ABOUT WEB CERTIFICATES[7]
- Al utilizar los certificados para servicios
privados se evita el ataque hombre en el Información relevante - Según el análisis empírico a gran escala,
medio (main in the middle). a los certificados SSL muestra que son muy pocos los sitios web
- Tomar en cuenta las Malas que implementan la autenticación basada
configuraciones para el correcto en certificados implementados
funcionamiento de HTTPS correctamente.
- Que sean emitidos por ACs reconocidas - Los aspectos más relevantes al problema
por los navegadores web. de utilización de los certificados digitales
son los económicos, jurídicos y sociales.
Justificación de las - El NIST recomienda que el público deje de
características usar claves de 1024 bits, en 2016 el poder Características claves - 2048 bits de longitud de clave mínima.
computacional es mayor por lo cual es para un certificado - Al usar HTTPS cerrar el puerto Http
necesario generar claves con esa fortaleza de SSL/TLS seguro para que no quede habilitado.
cifrado - Considerar la utilización de los
- Se encuentra que aproximadamente 1.32 certificados EV.
millones de hosts que quiere decir el (12,7%) - Utilizar como mínimo el algoritmo
de la mayoría de certificados validos en los SHA-2.
navegadores web, están mal configurados o
se encuentran fuera de su periodo de valides, Justificación de las Malas configuraciones a tomar en cuenta
de tal manera que deja inaccesibles a los características para su correcto funcionamiento:
clientes una navegación segura. - Certificados caducados
- Más del 95 % de certificados de confianza - Aviso de incompatibilidad de dominio
usan el tamaño de clave recomendado por Para la selección de una autoridad de
NIST. Sin embargo las sobrantes ACs siguen certificación reconocida se toma tres
usando claves RSA de 1024 bits. aspectos a considerar.
- Seguridad
- Reputación
TABLA VII - Usabilidad
S4. SOK: SSL AND HTTPS:
REVISITING PAST CHALLENGES AND EVALUATING CERTIFICATE TRUST MODEL - Es fundamental proporcionar la confianza
ENHANCEMENTS en la identidad de la organización con los
certificados EV.
Información relevante - Evalúa una comparativa de las mejoras - Entre las ACs más recomendadas están
a los certificados SSL a la infraestructura de certificados Verising y Comodo
utilizados en la práctica. - Los resultados muestran que casi un
- Detalla aspectos basados en el tercio de los sitios web pueden ser
certificado SSL, en el que provee navegados con HTTPS, sólo el 5,7% de los
seguridad ante debilidades primitivas como sitios web implementan HTTPS.
el cifrado débil de longitudes de clave, en La mayoría de operadores de sitios web
la que explica que varias de las funciones optan por adquirir certificados económicos
ofrecidas en el cifrado de las primeras y muchas veces gratuitos para dominios
versiones de TLS ya no se considera privados, aunque su seguridad se pone en
seguro duda. Solo una pequeña fracción de
administradores de sitios web, logran una
Características claves - Longitud de cifrado con RSA de 2048 alta seguridad mediante la obtención de
para un certificado bits certificados EV.
SSL/TLS seguro - Versión mínima a utilizar en un
certificado digital es SSL/TLS V 1.2 TABLA IX
- Considerar la utilización de los S6. COMPUTER NETWORK SECURITY PROTOCOLS[8]
certificados de validación extendida (EV)
Información relevante - Existen varias propuestas de protocolos y
Justificación de las - Las longitudes de claves cortas o a los certificados SSL estándares de seguridad: como a nivel de
características algoritmos hash débiles limitará la utilidad aplicación están PGP, S/MIME, S-HTTP,
de un certificado HTTPS, a nivel de transporte como es SSL
- Cualquier esquema de cifrado de clave (Secure Socket Layer) y TLS (Transport
simétrica con 40, 56 o 64 Bit está sujeto a Layer Security), a nivel de red como los
un ataque de fuerza bruta protocolos Secure IP (IPSec) y el VPNt.
- El NIST recomienda que la fuerza de
seguridad requerirá la eliminación de 1024 Características claves - Utilizar la nueva norma SSL/TLS con la
bits RSA/DSA. para un certificado versión TLS mas actual que es la TLS
- El estudio detalla que la negociación de SSL/TLS seguro V1.2
apretón de manos con SSL 2.0 degrada la
seguridad en un servicio web en los Justificación de las - TLS en su versión actual 1.2 o SSL V3.3
ataques de hombre en el medio, esto en características Recogida de la Norma RF C 5246.
SSL 3.0 y las versiones de TLS son Aunque hay muchos protocolos que al
corregidas en la actualidad igual que SSL proveen seguridad web
- Los certificados EV se agregó como un como S-HTTP, SSL no solo funciona a
nuevo tipo de certificado digital que nivel Web sino proporciona seguridad a
agregan el color verde en la barra con el muchos otros protocolos de red.
nombre de la organización, junto a las
direcciones de un dominio público.
certificados digitales hoy en día.
TABLA X
S7. AUTHENTICATION SYSTEMS [9]
IV. RESULTADOS
Información relevante - Se genera un gran esfuerzo para 1) Hallazgos
a los certificados SSL prevenir las formas más simples de ataques A continuación se presentan los principales hallazgos que se
como captura de contraseñas a través de la
red. Esto se debe al éxito evidente de la
presentó al realizar la Revisión Sistemática.
ingeniería social, el phishing o ataques con
diccionario de datos, por lo que en Los Trabajos S1, S2, S3, S4, S5, S6, S7 y S8 presentan las
concreto no existe un sistema que sea características claves que los certificados digitales SSL/TLS
seguro en su totalidad.
deben contar, que son: Robustez de Cifrado no menos de 2048
Características claves - Los certificados digitales utilizan una bits, Utilizar el certificado estándar X.509; Utilizar los
para un certificado arquitectura asimétrica. certificados SSL/TLS V 1.2 mejorado. Aunque el trabajo S4
SSL/TLS seguro - Los certificados deben utilizar la función presenta una característica adicional como es la utilización del
hash más actual para solidificar la
seguridad. Algoritmo SHA1, el trabajo S5 y S8 recomienda la utilización
- Utilización de certificados digitales del algoritmo SHA2 por sus bits de cifrado que son mayor a
X.509 los 160 bits del SHA1, si bien hay que tener en cuenta según
- Adquirir el certificado digital por medio el trabajo S4, menciona el uso del algoritmo SHA1 porque aun
de una autoridad de certificación
reconocida por los navegadores web. lo usan en la actualidad este mismo pasa a ser obsoleto desde
- Considerar la utilización de los año 2017, permitiendo solo comunicaciones con el uso del
certificados de validación extendida (EV) algoritmo SHA2.
Justificación de las - Actualmente, la autenticación SSL/TLS
características se basa casi exclusivamente en la El trabajo S2, S3, S5 nos especifican adicionalmente otros
utilización de certificados digitales X.509. requerimiento clave para evitar malas configuraciones en el
- Para evitar ataques MITM (hombre en el correcto funcionamiento de los certificados SSL: Los
medio) se realiza el paso de adquisicion de servidores admitan las extensión SSL/TLS, por lo que
los certificados EV que se basa no solo en
la validación del dominio del servidor sino funciona bajo el protocolo seguro Https; Tener en cuenta la
en toda la organización. fecha de caducidad de los certificados digitales; El certificado
- La criptografía asimétrica utiliza la digital debe ser emitido por una AC (Autoridad Certificadora)
autenticación entre una clave privada que reconocida por los navegadores web; Evitar que se revoquen
nunca se transmite a través de la red y una
clave pública vinculada a la identidad del los certificados por un aviso de incompatibilidad de dominio.
usuario a través de un certificado X.509.
El trabajo S4 sugiere un aspecto alternativo en mira de la
TABLA XI selección de un certificado digital, con la opción de utilizar los
S8. TRANSPORT LAYER[10]
certificados SSL EV. De la misma manera define que con la
Información relevante - La red se basa en protocolos, por lo implementación certificados SSL seguros, mejorará el servicio
a los certificados SSL tanto, los protocolos de seguridad en confrontación con distintas amenazas como el Phishing.
repartidos en diferentes capas de red
constituyen la base de la seguridad de toda El trabajo S5 enlista tres aspectos adicionales a considerar
la red. A diferencia de algunos protocolos
como IPsec que provee seguridad sobre la para la selección de un certificado digital, que son: Seguridad,
capa de internet, las aplicaciones que que se utilicen las características mencionadas con
desean comunicarse de forma segura a anterioridad como bits de cifrado, algoritmos de criptografía
través de la capa de internet debe ser capaz robustos, etc. ; Reputación, que sus certificados digitales sean
de usar el protocolo de comunicación de
transporte seguro como lo es SSL/TLS. reconocidos por los navegadores web; Usabilidad,
proporcionando garantías de protección, con el fin de proveer
Características claves - Los certificados SSL/TLS utilizan la confianza al usuario administrador de la plataforma web.
para un certificado versión más actual del protocolo TLS que
SSL/TLS seguro es el 1.2
- Utilizar el algoritmo de cifrado más Los trabajos S4 y S5 sugieren un aspecto alternativo en mira
robusto SHA 2 de la selección de un certificado digital, con la opción de
- Utilizar el certificado estándar ITU-T utilizar los certificados SSL EV.
X.509
Justificación de las - Las versiones actuales del protocolo TLS El trabajo S6, S7, S8 puntualiza la importancia de utilizar los
características como el 1.1 se encuentra sustentado en el certificados digitales que trabajan bajo el protocolo SSL/TLS,
(RFC 4346) y TLS 1.2 en la (RFC 5246). se basan en el aspecto que SSL/TLS puede trabajar bajo
- El protocolo TLS/SSL admite varios
algoritmos criptográficos que sirven en el
muchos otros protocolos como es el HTTP, FTP e incluso el
proceso de autenticación entre ellos como UDP que no es orientado a la conexión, están gran ventaja
los HASH que son los usados en la proporciona la facilidad de uso, que a diferencia de muchos
actualidad. otros protocolos que funcionan bajo una sola capa del modelo
Los certificados X.509 es el estándar
utilizado con más frecuencia para los
TCP/IP.
certificate trust model enhancements,” Proc. - IEEE
El trabajo S6 y S8 especifican puntualmente que los Symp. Secur. Priv., pp. 511–525, 2013.
certificados digitales SSL/TLS se basan en el estándar RFC [2] F. Mu, J. Zhang, J. Du, and J. Lin, “Application of the
5246 con el protocolo TLS 1.2 que es el más actual en la Secure Transport SSL Protocol in Network
familia de protocolos TLS. Communication,” 2011.
[3] D. Bracho, C. Rincón, A. Acurero, and N. Silva,
“Técnicas de Seguridad en Acceso a WEB: Crítica de
V. CONCLUSIONES Esquemas Actuales y Propuestas de Mejora,” Article,
Para tener una conexión segura con los certificados digitales vol. 3, pp. 90–107, 2008.
SSL/TLS se deben cumplir con ciertas características claves [4] Z. Durumeric and J. Kasten, “Analysis of the HTTPS
que son: primero utilizar el algoritmo SHA-2 e ignorar certificate ecosystem,” Proc. 2013 …, pp. 291–304,
algoritmos de cifrado obsoletos, segundo la robustez del 2013.
cifrado no tiene que ser menor a 2048 bits, como tercer [5] A. Alrawais, A. Alhothaily, and X. Cheng, “X.509
característica se tiene que utilizar el certificado estándar Check: A Tool to Check the Safety and Security of
X.509, como cuarta característica se debe utilizar las Digital Certificates,” 2015 Int. Conf. Identification,
versiones más actuales de los certificados digitales que son Information, Knowl. Internet Things, pp. 130–133,
SSL/TLS V 1.2. 2015.
Otros elementos claves que se tienen que considerar para [6] B. Kitchenham, “Procedures for performing
evitar malas configuraciones en la utilización de los systematic reviews,” Keele, UK, Keele Univ., vol. 33,
certificados digitales SSL/TLS en los servidores de aplicación no. TR/SE-0401, p. 28, 2004.
son cuatro aspectos importantes, primero los servidores deben [7] J. Bonneau and S. Preibusch, “The Inconvenient Truth
admitir la extensión SSL/TLS, segundo tener en cuenta la
About Web Certificates,” Econ. Inf. Secur. Priv. III,
fecha de caducidad de los certificados, tercero el certificados
no. 1, pp. 121–167, 2010.
digital debe ser emitido por una AC reconocida por los
[8] C. Network and S. Protocols, 17 17.1. .
navegadores web y por ultimo evitar que se revoquen los
[9] A. Systems, “Authentication Systems 3.1.”
certificados por incompatibilidad de dominio.
Se debe implementar como una alternativa de seguridad los [10] T. Internet, T. C. Proto-, and U. D. Protocol,
certificados SSL EV (Validación Extendida) en comparación Transport Layer. 2013.
con los certificados SSL/TLS, aunque su emisión dura más
tiempo y su costo es más elevado, pero su validación de
autenticidad de un sitio web va más allá de su dominio,
analizando de manera crítica a la organización con el fin de
garantizar su autenticidad y brindarle mayor confianza al
usuario que visita la página web.
REFERENCIAS
Articles:
[1] J. Clark and P. C. Van Oorschot, “SoK: SSL and
HTTPS: Revisiting past challenges and evaluating
S6
Información relevante
Existen varias propuestas de protocolos y estándares de
seguridad: como a nivel de aplicación están PGP, S/MIME, S-
HTTP, HTTPS, a nivel de transporte como es SSL (Secure
Socket Layer) y TLS (Transport Layer Security), a nivel de
red como los protocolos Secure IP (IPSec) y el VPN y a nivel
de enlace como RADIUS.
Justificación
El protocolo situado entre la capa de transporte t de aplicación
proporcionando seguridad adicional para la protección de
datos, agregando seguridad en todos los protocolos de nivel de
aplicación (Protocolo de transferencia de archivos (FTP),
HTTP, SMTP).
SSL/TLS en su versión actual TLS V1.2 nos permite
establecer los siguientes servicios de seguridad entre dos
entidades en una red:
- La confidencialidad de los datos obtenidos mediante
la creación de un túnel seguro entre el cliente y el
servidor en el que los datos están cifrados con un
algoritmo de cifrado simétrico, como RC4 o AES
- La integridad de los datos mediante el calculo de un
código de autenticación de mensajes (MAC) para
cada fragmento intercambiado de datos de la
aplicación. Esto es generalmente llevado acabo
utilizando un algoritmo clásico de funciones HASH
como SHA
- Protección agregando números de secuencia
utilizando cálculo de la MAC.
- Simples o mutua autenticación mediante certificados
digitales X.509