El manejo de certificados de Firefox 3

El software nunca es perfecto, pero a veces los errores no son de código mal escrito, bugs y esas cosas, son de decisiones de diseño. En el caso de Firefox 3, más allá de los clásicos temas de memoria o velocidad, el tema de los certificados SSL cambió bastante en la última versión y a mi me sorprendió encontrarme con la pantalla que les dejo a continuación:



Así es, entrando a google me manda esta pantalla policial que me dicen que me quieren cagar más o menos, Google.com.ar resulta estar utilizando un certificado de seguridad no válido. La URL a la que intenté entrar es https://google.com.ar

Por alguna razón Google redirecciona bien si escribo www.google.com.ar junto al HTTPS pero si le saco el www. quiere entrar con el certificado de google.com al domingio google.com.ar, obviamente, aunque la diferencia es poca, son distintos.

Firefox detecta esta diferencia y me alerta, pero hay un problema, la forma en que me alerta y la posibilidad de agregar una excepción tan libremente. La idea original es impedir que los sitios de phishing logren tomar mis datos personales con un sitio falso, pero al no ver ni el sitio ni nada y darnos cuenta que la elección es fácil "o agrego la excepción o no veo nada", uno termina agregandola sin mirar en detalle. No es mi caso, pero fíjense como en este caso que linkeo donde la persona víctima de un ataque terminó "liberando" todos los dominios que usaba "por las dudas" para evitar estos carteles.

No es que el mensaje en sí sea un problema, es que algo está fallando, no sólo en los falsos positivos, como mi caso, si no en los verdaderos. Si uno agrega excepciones hasta para los sitios "malos" uno mismo se estaría auto-atacando practicamente.

Pero todo esto no es el único problema, ahí estamos ante una cuestión funcional o de "usabilidad", la segunda cuestión es la política de usar un certificado pago es más seguro que uno propio, obligando a pagarle a una empresa para que esta verifique, según se le ocurra, si sos válido o no, algo que se soluciona con dinero.

SSL se inventó para hacer conexiones seguras mediante un canal encriptado y para verificar quien es quien. Mozilla parece haberse centrado en lo segundo y olvidado lo primero, así que si uno tiene su propio certificado "no es válido" según esta política, aunque si lo sea desde el punto de vista técnico, para Mozilla no es suficiente validez.

Así que nos encontramos con tres problemas, uno el de darle excepción a todo porque Mozilla te detecte problemas y el diseño actual no permita a todos los usuarios reaccionar correctamente (diseño), el segundo el de identificar mal sitios como en el caso de Google (técnico), y el tercero el despreciar certificados porque no esten expedidos por una entidad comercial (conceptual).

Mozilla podrá mejorar esto, ya estan saltando las primeras quejas, esperemos que para la 3.1 esté repensado este tema. Por suerte es Software Libre y se puede aportar bastante más que sólo quejas :P

Categoría: Informática Etiquetas:  
Otros posts que podrían llegar a gustarte...

Comentarios

  • parq    

    Fabio,

    comparto la idea de que se muestre el sitio de todas maneras y al mismo tiempo te aparezca el mensaje actual.

    estaría bueno que lo reportes como un bug. no he tenido tiempo de revisar si ya está reportado.

    hasta luego...

    • Responder
    • Citar
    • Comentado:
  • Guty    

    A mi me pasa con sitios del laburo
    Pero una vez que aceptás el certificado, todo anda bien.

    • Responder
    • Citar
    • Comentado:
  • RodolfoGS    

    A mi me aparece ese mensaje cuando intento entrar al router de mi casa, capas que tendria que actualizarle el firmware, pero ese es otro tema (vagancia).

    El problema es que cuando me aparece ese cartel, agrego una excepcion y entro perfecto, todo bien, hago lo que tengo que hacer, me voy y listo.
    Otro día, quiero volver a entrar y no puedo, pero ni siquiera me pone el mensaje para agregar una excepcion (ya esta agregada). Entonces lo que tengo que hacer es entrar a la configuracion, a la parte de certificados, borrar la excepcion, F5, me aparece el mensaje, agrego la excepcion y puedo entrar de nuevo.

    Entonces, lo que termino haciendo para no dar tantas vueltas, es entrar con IE y listo, no aparece ningun cartel y entro de una.


    Es lo unico que no me gusta de Firefox 3, en FF 2 no tenia este problema.

    • Responder
    • Citar
    • Comentado:
  • yabran    

    lo del host puede ser una burrada de configuracion que se les haya pasado por alto, a google digo, el tema de que uno redirecciona y el otro no. Y lo del cartelon... lamentablemente me suena a la misma estrategia que Microchot, tomar al usuario por boludo y salvarlo de su propia boludez no dejandolo hacer ciertas cosas... que a veces es lo mejor.
    La verdadera pregunta es, ¿por que tus otros tabs piden confidencialidad y que se les borronee su favicon? ¿Son testigos en peligro? Den la cara! Para mi que esta todo montado eso :D

    • Responder
    • Citar
    • Comentado:
  • A mi me pasaba eso con Firefox 3 (en windows) cuando queria entrar a la pagina de la facultad. Con FF 3.0.3 (linux) ya no me sucede. O lo arreglo mozilla o lo arreglaron en la facu

    • Responder
    • Citar
    • Comentado:
  • Hugo    

    Otra cosa molesta es que al hacer click en el favicon no te selecciona automaticamente la direccion para copiar, sino que baja una ventanita con info sobre la privacidad del sitio, que no le importa a nadie.

    Salvar unos clicks para los que tenemos tendinitis en el índice no es una huevada!

    • Responder
    • Citar
    • Comentado:
  • cabe    

    interesante articulo...

    algunas observaciones sobre los problemas de firefox:

    1) la verdad que no se me ocurre una alternativa a las opciones que firefox brinda cuando no puede autenticar un certificado SSL, te dice que agregues una excepcion, ¿seria mejor que no te de esa posibildad? no creo, los usuarios simplemente usarian algun navegador menos seguro (lease IE)
    quizas seria mejor que explique de alguna otra forma mas clara lo que esta pasando, pero que te permita seguir esta perfecto...

    2) no es un problema, si no que a los certificados SSL hay que agregarles los dominios que van a ser aceptados, y en este caso google no agrego todos...
    lo mismo pasa si uno intenta acceder a https://paypal.com/
    es un tema tecnico de los certificados SSL, pasa por los SAN y los FDQN

    3) tampoco lo veo como un problema de firefox, creo (como estuve leyendo por ahi) que esta queja se da a raiz de una confusion entre encriptacion y autenticacion...
    los certificados ssl proveen la encriptacion, lo que vos mandas va a llegar encriptado adonde lo mandes; pero las autoridades de certificacion (que cobran, por supuesto) son las que nos dan la seguridad que le estamos mandando nuestros datos a quien queremos mandarlos...

    no se... esta bueno el tema, ahora que releo lo que puse parezco el abogado de mozilla, pero ni a palos, yo uso opera (es mucho mas rapido y trae mouse gestures incorporados de fabrica)

    saludos!

    • Responder
    • Citar
    • Comentado:
  • La gente de Mozilla considera un certificado auto-firmado como un error; en ese sentido esa pantalla de Firefox es lo mas parecido que vi a un BSOD de Windows,,,, con la diferencia de que la de Firefox fue *interncionalmente* dise#ada para que el usuario no-informatico *no* entienda nada y no siga avanzando.

    Es decir, Mozilla al enfrentarse a estas dos alternativas:

    a) el usuario me pide navegar un sitio con un certificado auto-firmado, entonces le voy a explicar en palabras simples de que se trata el problema y el decidira si continua o no. Si desea saber mas sobre el tema le mostrare un link "saber mas" con una explicacion bien detallada del problema.

    b) el usuario me pide navegar un sitio con un certificado auto-firmado; como todos los usuarios son tontos, no entienden de seguridad y clickean rapido los mensajes, le vamos a mostrar un mensaje que no entiendan y que los asuste, porque nosotros ( Mozilla ) somos como los superheroes de la seguridad en Internet y estamos aca para defender a los usuarios de los villanos de internet.

    Mozilla eligio la b).

    Otra gente estudia mas a fondo el problema de las interfaces de usuario y la seguridad , antes de tomar decisiones apresuradas y audaces: por ejemplo ver

    http://www.cs.auckland.ac.nz/~pgut001/pubs/phishing.pdf

    citado en

    http://www.gnome.org/~federico/news-2008-08.html#05

    orlando

    • Responder
    • Citar
    • Comentado:
  • parq    

    Está reportado de otra manera:
    https://bugzilla.mozilla.org/show_bug.cgi?id=438762#c11

    • Responder
    • Citar
    • Comentado:
  • Swicher    

    yabran dijo:


    La verdadera pregunta es, ¿por que tus otros tabs piden confidencialidad y que se les borronee su favicon? ¿Son testigos en peligro? Den la cara! Para mi que esta todo montado eso :D

    Pues a mi me parece que Fabio en ese momento estaba viendo sitios porno o alguna cosa indebida y justo en ese momento se encontró con esa pantalla, o tal vez no le quería hacer publicidad gratis a los sitios que estaba viendo en ese instante (sino que aclare, por que yo también me estoy preguntando lo mismo)..

    josecuervo86 dijo:
    A mi me pasaba eso con Firefox 3 (en windows) cuando queria entrar a la pagina de la facultad. Con FF 3.0.3 (linux) ya no me sucede. O lo arreglo mozilla o lo arreglaron en la facu

    Yo también uso el Firefox 3.0.3 (para Windows) y me acabo de fijar que con la dirección https://google.com.ar me pasa lo mismo que a Fabio. Así que probablemente hayan arreglado la pagina de esa facultad que mencionaste.

    • Responder
    • Citar
    • Comentado:

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Para evitar bots, si se tardó mucho en leer la nota seguramente no sirva y tenga que intentar dos veces

Negrita Cursiva Imagen Enlace


comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador