SSL: Interceptado hoy, descifrado mañana (II)

octubre 27, 2013 § Deja un comentario

Tal y como se vio en el artículo anterior, SSL: Interceptado hoy, descifrado mañana (II), Netcraft ha probado la suite de cifrado de los cinco navegadores más importantes (Internet Explorer, Google Chrome, Firefox, Safari y Opera ) contra 2.4 millones de sitios SSL obtenidos de la encuesta SSL de Netcraft realizada en Junio.
El soporte para Perfect Forward Secrecy (PFS) varió significativamente entre los distintos navegadores: sólo una pequeña fracción de las conexiones SSL de Internet Explorer trabajaron con PFS; mientras que Google Chrome, Opera y Firefox estuvieron protegidos en aproximadamente un tercio de las conexiones. Safari se desempeñó solo un poco mejor que Internet Explorer.

Internet Explorer se desempeña pobremente ya que no soporta ninguna suite de cifrado que use tanto llaves Públicas RSA como intercambio de llaves DH de curvas no elípticas, lo que incluye la suite de cifrado PFS más popular. Además, las suites de cifrado PFS soportadas por IE tienen una prioridad más baja que algunas de las suites no-PFS. Curiosamente, IE soporta DHE-DSS-AES256-SHA, el cual usa el poco usual método de autentificación DSS, pero no soporta el muy popular DHE-RSA-AES256-SHA.

Browser priority Cipher Suite Real-world usage in SSL Survey
1 AES128-SHA 63.52%
2 AES256-SHA 2.21%
3 RC4-SHA 17.12%
4 DES-CBC3-SHA 0.41%
5 ECDHE-RSA-AES128-SHA 0.08%
6 ECDHE-RSA-AES256-SHA 0.21%
7 ECDHE-ECDSA-AES128-SHA 0.00%
8 ECDHE-ECDSA-AES256-SHA 0.00%
9 DHE-DSS-AES128-SHA 0.00%
10 DHE-DSS-AES256-SHA 0.00%
11 EDH-DSS-DES-CBC3-SHA 0.00%
12 RC4-MD5 16.46%
El orden de prioridad de la suite de cifrado de Internet Explorer 10 y la suite de cifrado real encontrada en la encuesta SSL de Netcraft. Las suites de cifrado PFS están resaltadas en negritas.

Safari soporta muchas suites de cifrado PFS pero solo recurre a las de curvas no elípticas como último recurso. Ya que los cifrados no-PFS tienen prioridades más altas, los webservices van a respetar las preferencias del explorador y los seleccionarán primero, incluso cuando ellos mismos soporten suites de cifrados (de curvas no elípticas) PFS.

Chrome, Firefox, y Opera se desempeñaron mucho mejor, dando preferencia, en cualquier nivel de fortaleza a las suites de cifrado PFS. Por ejemplo: la lista de preferencias de Opera empieza: DHE-RSA-AES256-SHA, DHE-DSS-AES256-SHA, AES256-SHA, DHE-RSA-AES128-SHA, DHE-DSS-AES128-SHA, AES128-SHA.

NetCraft no incluyó en la prueba, ninguna suite de cifrado que sólo esté presente en TLS 1.2, lo que incluye muchas de las suites de cifrado PFS de Opera, por lo que los resultados de este explorador son inferiores en el número de sitios SSL reales que utilizan PFS.

Ninguno de los exploradores cambió su interfaz de usuario notablemente para reflejar la presencia de PFS como lo sí harían para certificados EV (donde generalmente muestran una barra de direcciones de color verde). Google Chrome y Opera sí muestran la suite de cifrado utilizada (en ventanas emergentes o cuadros de diálogos), pero se basan en que el usuario entienda las implicaciones de mensajes como “… se utiliza ECDHE_RSA como el mecanismo de intercambio de llaves…”.

Continuará…

Traducción: Mauro Gioino de la Redacción de Segu-Info
Fuente: Netcraft

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo SSL: Interceptado hoy, descifrado mañana (II) en Seguridad Informática.

Meta

A %d blogueros les gusta esto: