SSL y Bancos

Pues estaba yo leyendo el blog de Security By Default, y me encontré con una entrada analizando la seguridad de los portales bancarios. Me sorprendió bastante el BBVA.

Security By Default: Bancos y SSL ¿Quien aprueba?

Mola el artículo.

La mayoría de certificados de servidor de los bancos son firmados por VerySign, que no hayan seguido un proceso de validación extendida no significa que no sean confiables. Si el usuario ve que su banco no ofrece un certificado firmado por una CA mediante validación exendida, puede mirar el certificado raíz y comprobar si la CA es realmente confiable.

Que un certificado tenga longitud de 1024 bits y esto sea algo como para poner un suspenso, es discutible. Una clave RSA de 1024 bits se romperá en caso de que haya comunicación usando cifrado asimétrico RSA; a base de enviar paquetes específicos (se consiguió hace poco, creo) Pero eso no significa que la clave de 1024 bits de un certificado sea vulnerable. Nada que ver una cosa con la otra.

Lo que sí es grave es que se permitan cifrados simétricos débiles. De hecho me parece raro que lo permitan, es un fallo de configuración SSL por parte de los departamentos de informática de los bancos. De todas formas, habrá alguna razón para tenerlo así.

No se ha producido ningún ataque MitM a ninguno de estos bancos (que yo sepa) Aunque haya fallos en la configuración de SSL y en la implementación de PKI, sigue siendo tremendamente complicado realizar este tipo de ataques. Es por eso que los crackers prefieren usar ténicas como las que describe calculín, mucho más eficientes.