Español | English
rss facebook linkedin Twitter

Análisis de los certificados SSL de los sitios más populares

Recordaréis que hace unas semanas estuvimos descargando los certificados SSL del millón de sitios más populares según Alexa.
De este proceso obtuvimos una lista de 419218 sitios que negociaban correctamente SSL y nos devolvían un certificado que nos pusimos a analizar.

La primera pregunta que se nos ocurrió fue: ¿Cuántos de estos certificados son validos? ¿Cuántos de estos sitios nos van a mostrar bien el candadito en el navegador?

La respuesta no es fácil, ya que nos enfrentamos a una serie de problemas:
- El conjunto de entidades de certificación reconocidas no es igual para todos los sistemas.
- Hay sitios que tienen varios nombres DNS de forma que no todos corresponden con el sujeto del certificado.
- Los criterios de seguridad de los distintos navegadores no son iguales.

Si utilizamos las entidades reconocidas por Firefox para validar los certificados y obviamos la resolución DNS y los criterios de seguridad de cada navegador, obtenemos los siguientes resultados:


Si descartamos los certificados que utilizan un algoritmo de firma vulnerable (md2, md2WithRSAEncryption, md4, md4WithRSAEncryption, md5, md5WithRSAEncryption, md5WithRSASignature y ripemd128) tenemos los siguientes resultados:


Y si además discriminamos según el tamaño de llave utilizado tenemos esto:


En general el estado de salud de los certificados analizados no es bueno. Un gran número de ellos son claramente inválidos y no realizan una de sus funciones principales, la de garantizar la identidad del servidor.

También se mantienen un número considerable de certificados que utilizan MD5 como algoritmo de firma a pesar de que desde hace años se recomienda el evitar su uso. Y por último, el número de certificados con llaves inferiores a 2048 bits sigue siendo muy alto, incluso quedan algunos con llaves de 512.

Ramón Pinuaga
Dpto. ACSS S21SEC


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login