Cuando ingreso mi nombre de usuario y contraseña en un sitio web protegido por SSL, ¿cuáles son todos los certificados, claves públicas y privadas involucradas para completar con éxito esta operación y cuáles son sus tareas principales?

Cada vez que abre un sitio web a través de HTTPS, ocurre lo siguiente (suponiendo un flujo SSL de 1 vía):

  1. Su navegador (cliente) realiza una solicitud al sitio web (que se ejecuta en un servidor).
  2. El servidor envía lo siguiente:
    1. Su certificado (que es la clave pública del servidor (junto con cierta información de identificación) firmado por una Autoridad de Certificación)
    2. Más información (como cifrados compatibles con protocolo de enlace SSL)
  3. El navegador luego verifica lo siguiente:
    1. ¿Es compatible con estos cifrados?
    2. ¿Confía en la Autoridad de certificación (CA) que ha firmado el certificado del servidor? (Cada navegador tiene un Trusted Certificate Store donde almacena los certificados digitales de las CA)
    3. ¿El valor cn especificado en el certificado del servidor coincide con el nombre de host solicitado originalmente por el navegador? (Por ejemplo: si el navegador solicitó https://www.yahoo.com y el servidor devolvió un valor de certificado con cn = www.someotherserver.com, el navegador lanzará una advertencia.
  4. Si las comprobaciones mencionadas anteriormente pasan en el navegador (el navegador puede lanzar una advertencia si 2 y 3 fallan, pero esto depende de la configuración de seguridad del navegador), se dice que el servidor autentica al servidor.
  5. El cliente genera una cadena aleatoria, la cifra con la clave pública del servidor y la envía al servidor.
  6. Como el servidor tiene su clave privada, puede descifrar la cadena aleatoria. Ahora, tanto el servidor como el cliente tienen el “secreto compartido”: cadena aleatoria.
  7. Usando el secreto compartido, tanto el cliente como el servidor generan una clave de sesión utilizada para cifrar y descifrar los mensajes enviados por cable.

En el caso de SSL de 2 vías, el servidor también autentica al cliente. El cliente envía su información de certificado junto con los cifrados admitidos. El servidor verifica el certificado del cliente (esto se conoce como servidor que autentica al cliente). Dado que SSL de 2 vías implica la autenticación del cliente y del servidor, también se conoce como “Autenticación Mutua”.

La siguiente imagen muestra una buena vista de cómo se produce el protocolo de enlace SSL en el caso de SSL de 2 vías:

Archivo: protocolo de enlace SSL con autenticación bidireccional con certificados.svg

Related Content

¿Cuáles son las repercusiones para las empresas que instalan malware de secuestro de búsqueda?

¿Cómo funciona un profesional de ciberseguridad?

¿Cuál es el método más seguro, tanto en línea como fuera de línea, para almacenar datos privados?

¿Se puede proteger y utilizar Windows XP para la navegación web?

¿Qué razones tenemos para confiar / desconfiar de los administradores de contraseñas, por ejemplo, 1Password & LastPass? ¿Son de código abierto? ¿Se han revisado sus metodologías? ¿Se podrían violar sin la contraseña maestra? ¿Alguien puede acceder a sus datos no cifrados?

More Interesting

Cómo mantener seguros mis documentos digitales importantes

¿Cómo y qué tipo de paquetes diseñados se utilizan en las pruebas de penetración?

¿Puedo trabajar en cualquier faceta del campo de la seguridad cibernética, incluso si soy terrible y no me gusta la programación (en cualquier idioma)?

¿Alguien puede descargar archivos de mi computadora si solo tienen mi dirección IP?

¿Qué quieren decir con código seguro para un sitio web o una aplicación? Entonces, ¿cómo puedo saber si el código es seguro?

¿Es seguro deshabilitar la protección CSRF en un área solo de administrador en una aplicación Django?

Cómo saber si hay un keylogger en mi computadora

Cómo hacer una contraseña segura

Si tengo un antivirus, ¿es necesario tener un anti malware?

¿Qué sitios de entrada de Captcha son confiables?

¿Por qué necesitamos un código del lado del cliente?

¿Cómo ha cambiado el panorama de amenazas desde la exposición de Stuxnet y la armamentización de las hazañas por equipos de delitos cibernéticos y otras APT?

¿Qué tan fácil sería hackear un escáner de huellas digitales habilitado con Authentec en un iPhone futuro, suponiendo que fuera robado?

¿Por qué debería preocuparse al usuario por la seguridad de sus datos y sistema informático?

¿Qué lecciones aprendimos con el truco GFW / Baidu / GitHub de China?