viernes, 9 de marzo de 2007

La AEAT también tiene problemas con su candado

Esto de la autenticación de servidor empieza a dar los primeros quebraderos de cabeza a los administradores de sitios Web. Es cierto que todas las recomendaciones de seguridad al usuario final insisten en la necesidad de comprobar la autenticidad de la página consultando el candado.

Si bien, el protocolo SSL es interesante para garantizar la seguridad de los datos en tránsito, no menos importante actualmente es autenticar el dominio al que se accede. Para ello, la solución técnica es generar un certificado de servidor asociado al dominio que se aloja. De esta manera, tenemos pruebas de que no estamos siendo víctimas de phishing, pharming, y otras amenazas basadas en la suplantación de identidad.

Parece que la gestión de dominios y su correspondiente certificado de autenticidad es un problema cuando se albergan las páginas Webs en sitios preparados para soportar grandes avalanchas de usuarios. En concreto, el problema que me ha comentado un compañero es con el acceso https de la nada mas y nada menos Agencia Tributaria, uno de los mejores referentes españoles en esto de la E-Administración.

Imagino que tratarán de resolverlo pronto, porque con las nuevas funcionalidades de Internet Explorer 7, como ya comenté, cualquier problema de autenticación se muestra al usuario poniendo la barra de dirección en rojo y hace desconfiar. En concreto, aquí están las capturas de lo que ocurre al acceder a https://www.aeat.es.


El problema se debe al certificado instalado como puede verse.

Con Firefox, la cosa tampoco es muy diferente. Se presenta un mensaje de advertencia al usuario.

Los mensajes en relación al problema si son algo diferentes.
 
;