SSL y HTTP
SSL y HTTPS es un protocolo abierto y no propietario que quizás es la forma mas común de proveer transmisiones encriptadas entre web browsers y servidores web (HTTP-S). Construido sobre encripción de llave primaria, SSL provee encripción de datos, autenticación de servidores, integridad de los mensajes y autenticación del cliente para cualquier conexión TCP/IP.
Para nuestros propósitos, SSL provee estos servicios entre browsers que soporten SSL y servidores que también lo hagan.
Desde el punto de vista del desarrollador no hay diferencia entre el desarrollo de un sitio web en http o https. La implemetación de SSL en el servidor es una tarea administrativa y corresponde a la politica de seguridad del Banco.
¿Cómo puede un usuario saber si la seguridad del web site está habilitada?
Cualquier usuario tiene la posibilidad de verificar si la información que se está intercambiando con el web site está encriptada y que de hecho corresponda a la compañía con la cual se quiere conectar. Para hacer uso de esta posibilidad, busque el icono de un candado ubicado en la esquina inferior derecha de la ventana de su browser.
¿Cómo puedo verificar la autenticidad del certificado?
Haga doble click en el ícono del candado. Se desplegará una ventana de información.
El certificado no solo le asegura que la información que intercambia es enviada encriptada sino que también asegura que el sitio web pertenece a una fuente legítima. Una compañía que posea un certificado, ha ido a través de un proceso de exhaustivo escrutinio.
¿Es posible que una compañía publique un certificado inválido?
Si, es posible que tenga su propio software de Cetification Authority que hace posible crear sus propios certificados sin la intervención de procesos de verificación de terceros. Si este es el caso, cuando se conecten a ese web site, el browser le enviara un mensaje de precaución acerca de la posible ilegitimidad del sitio al cual se está conectando.
Lista de chequeo de seguridad.
1. Siempre verifique el candado esté presente.
2. Si el certificado está presente, tómese un momento para verificar la información del certificado.
3. Un sitio seguro no debe mostrar cualquier mensaje de error o de precaución.
4. Verifique el ítem "Issued to" en el certificado. Debe ser la url del sitio al cual se está conectando.
5. Verifique el "Issued by" ítem. Este ítem muestra la autoridad certificadora. Cualquier mensaje de error o de precaución implica que la autoridad certificadora que ha publicado el certificado no es segura y por tanto usted puede ser víctima de una suplantación de identidad.
6. El "Valid from" ítem debe ser siempre válido a la fecha actual.