lunes, 5 de marzo de 2007

Internet Explorer 7 y la gestión de certificados digitales.

Vengo observando desde la instalación de Internet Explorer 7 un curioso comportamiento respecto al acceso mediante protocolo https cuando el certificado del servidor no es un certificado raiz de "confianza".

Curiosamente la Ley 59/2003, de firma electrónica establece en el artículo 5 que "La prestación de servicios de certificación no está sujeta a autorización previa y se realizará en régimen de libre competencia."

Desde este blog ya he comentado en ocasiones los requisitos establecidos a todo prestador de servicio respecto a la obligación de documentar sus prácticas de certificación. Hoy los tiro no van por ahí sino contra las restricciones que establece Internet Explorer 7 cuando se utilizan "certificados de otra confianza". Ya se que siempre está la opción de usar otro navegador, pero lo que vengo a comentar es lo que pasa en Internet Explorer 7. Cuando uno accede a un servidor con un certificado de dominio diferente de los que vienen en el contenedor de certificados del propio navegador aparece un mensaje como el siguiente.



Si bien este mensaje advierte al usuario del potencial peligro que puede suponer el acceso dado que el certificado no puede ser verificado, no es lógico por otra parte el comportamiento que he detectado. Un usuario u organización pueden decidir libremente en confiar en los certificados raiz que les plazcan

Una vez que uno es consciente de que el certificado no está entre los instalados por defecto, puede considerar que el certificado raiz merece su confianza e instalarselo en el navegador. Esto ocurre normalmente en PKI internas que han generado su propio certificado raiz y sobre el han construido el arbol de confianza de todos sus certificados para usuario o equipos. Pues bien, aunque nos instalemos el certificado raiz y confiemos explicitamente en él, Internet Explorer nos sigue presentando el mismo mensaje advirtiendonos de un supuesto peligro de seguridad que en el fondo no es tal. El mensaje de error es similar a la siguiente captura.



Como puede observarse, las pantallas de aviso son contradictorias. Por un lado se nos indica que el certificado es válido (o sea, no está revocado y es de una entidad raiz autofirmada) pero por otro aparece el texto "no se puede comprobar este certificado raiz hasta una entidad emisora de certificados en la que se confía". Además en la barra de navegación, aparece la URL en rojo avisando sobre el problema.

Este segundo mensaje es falso, puesto que es a elección del usuario final, la decisión de confiar o no en un certificado raiz. Ojo, estamos hablando de un prestador de servicios de certificación sin especificar si son o no reconocidos los certificados generados. Para el caso da igual. No son de confianza las entidades de certitificación que Microsoft mete por defecto en el navegador sino las que aparecen en el listado de Prestadores de servicios de certificación del Ministerio de Industria,Turismo y Comercio.

Alguien debería hacer algo al respecto, pero ante estas nuevas problemáticas de la sociedad de la información globalizada, tampoco sabe uno a donde acudir o a quién reclamar. Sirva el blog para constatar al menos los hechos advertidos.

1 comentarios:

Arkangel gammar dijo...

Eso es todo?
No hay una solucion?

 
;