[Conoce IE7] Mejoras de seguridad HTTPS en Internet Explorer 7

02/10/2007 - 15:41 por Enrique [MVP Windows] | Informe spam
Mejoras de seguridad HTTPS en Internet Explorer 7

___________________________________________________________



El protocolo HTTPS utiliza el cifrado para asegurar el tráfico de Internet y protegerte contra el ‘snooping’ o el ‘tarpering’ (violación de los mecanismos o los procedimientos de seguridad establecidos con objeto de atacar un sistema). HTTPS utiliza cualquiera de los protocolos Secure Sockets Layer (SSL) o Transport Layer Security (TLS) para proteger los datos por Internet.

Para mejorar la seguridad y agregar nuevas funcionalidades, se han puesto en práctica una serie de cambios en la implementación HTTPS en Windows Internet Explorer 7. Los nuevos protocolos por defecto en IE7 reducen la probabilidad de que alguien se aproveche de la configuración o de las debilidades del protocolo para interceptar o para modificar tráfico web. Las nuevas páginas de error que aparecen en IE7 proporcionan una experiencia simplificada de usuario que te ayudarán a atenuar la ingeniería-social y los ataques de ‘phishing’.

Este artículo te ayudará a entender cómo tratar el impacto de la compatibilidad de los cambios HTTPS en IE7. Como usuario de Internet Explorer 7, podrás experimentar el impacto de estas mejoras de seguridad HTTPS de las siguientes formas:


• Síntoma: Al acceder a un sitio web configurado solamente mediante el protocolo SSLv2 (SSL versión 2), te aparecerá una página de error.

Causa: El protocolo SSLv2 ha sido deshabilitado por defecto en Internet Explorador 7. Este protocolo ha tenido ciertas vulnerabilidades de seguridad y ha sido depreciado por los protocolos SSLv3 y TLSv1.

- Si eres desarrollador de aplicaciones web y utilizas WININET para conectar con sitios seguros HTTPS, no utilices el protocolo SSLv2, utiliza los protocolos SSLv3 o TLSv1, más seguros.

- Si eres usuario final de IE7, puedes habilitar en estos casos, el protocolo SSLv2 desde el panel de control de IE7, en el menú Herramientas > Opciones de Internet > Opciones avanzadas > apartado seguridad.

- Si eres administrador de la red, puedes utilizar IEM (Mantenimiento de Internet Explorer) desde Directiva de grupo, para controlar las preferencias de usuario, que se registrarán en la siguiente clave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

SecureProtocols REG_DWORD

SSLv2, valor decimal 8 (0x008)
SSLv3, valor decimal 32 (0x020)
TLSv1, valor decimal 128 (0x080)
SSLv3+TLSv1, valor decimal 160 (0x0a0)

Para habilitar todos los protocolos, valor decimal 168 (0x0A8)


• Síntoma: Al acceder a un sitio web HTTPS configurado para utilizar un cifrado más débil (40 y 56 bits de encriptación) en Windows Vista, te aparecerá una página de error.

Causa: En Windows Vista, se han deshabilitado los cifrados débiles y solamente se permite la encriptación fuerte por defecto.

- Si eres desarrollador de aplicaciones web y utilizas WININET para conectar con sitios seguros HTTPS, no utilices encriptación débil, utiliza 128 bits de encriptación, o superior, en el software del servidor web.

- Si eres administrador de red, configura el software del servidor web para ofrecer opciones más fuertes de cifrado. Si el servidor no está bajo tu control, ponte en contacto con un operador del servidor.

- Si eres usuario final de IE7, no existe nada que pueda hacerse en este caso. Entra en contacto con el webmaster y solicita que ofrezcan un mayor nivel de cifrado.


• Síntoma: Al navegar a un sitio web seguro HTTPS que presenta un certificado de seguridad que contiene errores, se exhibe una página de error.

Causa: Para mejorar la seguridad y la experiencia del usuario, IE7 bloquea la navegación a los sitios HTTPS que presentan certificados de seguridad conteniendo errores. Este cambio sustituye la caja de diálogo modal que mostraba IE6.

- Si eres desarrollador de aplicaciones web, asegúrate que utilizas certificados de seguridad válidos, que no hayan expirado, y que sean emitidos por entidades emisoras de certificación de confianza. Asegúrate también de que la dirección expuesta en el certificado coincide con la del sitio web.

- Si eres usuario final de IE7, no hay solución al problema si el certificado del sitio ha caducado; entra en contacto con el webmaster y solicita que actualice el certificado. Si la dirección en el certificado no coincide con la dirección del sitio web, puedes deshabilitar la advertencia de seguridad desmarcando la opción “Advertir sobre la falta de coincidencia en la dirección de los certificados” en el apartado Seguridad de la sección Opciones Avanzadas del panel de control de IE7. No se recomienda cambiar este ajuste de seguridad. Si el certificado de seguridad no fue emitido por una entidad de certificación de confianza, puedes agregar esta entidad de certificación si realmente confías en ella. Confiar en una autoridad de certificación malintencionada puede poner tu equipo en peligro. Para agregar una autoridad de certificación de confianza, sigue estos pasos:

a) continúa la navegación de la página de error del certificado.
b) pulsa seguidamente en "Error de certificado" en la barra de direcciones.
c) pulsa en "Ver certificados".
d) pulsa en "Ruta de certificación" y comprueba que realmente se trata de la entidad certificadora en la que vas a confiar.
e) pulsa en la pestaña General y en "Instalar certificado". Sigue los pasos del Asistente para importación de certificados. Debes instalar el certificado en el almacén "Entidades emisoras raíz de confianza".
f) pulsa en Aceptar y en Siguiente.
g) pulsa en Finalizar. Recibirás un mensaje de seguridad en pantalla. Si realmente confías plenamente en esta entidad certificadora, pulsa en Sí para instalar el certificado.

De todas formas, es posible que no llegue a instalarse dicho certificado si Windows no tiene la suficiente información como para asegurar que se trata de una entidad de confianza. En tal caso, únicamente queda la opción de descargar e instalar el certificado proporcionado por dicha entidad.


• Síntoma: Al ver una página web que mezcla contenido HTTPS y HTTP (seguro y no seguro), aparece una barra de información en lugar de un diálogo modal como aparece en Internet Explorer 6 y versiones anteriores.

Causa: Para mejorar la seguridad y la experiencia del usuario, IE7 bloquea por defecto el contenido HTTP de las páginas HTTPS. Este cambio sustituye la caja de diálogo modal mostrada en IE6.

- Si eres desarrollador de aplicaciones web, asegúrate que las páginas HTTPS no contengan referencias enbebidas en los recursos tratados por el protocolo HTTP.

- Si eres administrador de red, o usuario final de IE7, en la ficha Seguridad del panel de control de IE7, elige el icono de Internet y pulsa en Nivel personalizado. En el apartado Miscelánea, habilita "Mostrar Contenido Mixto". Si deshabilitas esta opción se bloqueará todo el contenido HTTP. De forma alternativa, como administrador puedes ajustar estas opciones, también, desde la Directiva de grupo.


• Síntoma: Al navegar a un sitio web seguro HTTPS en Windows Vista, se realiza una comprobación de la revocación del certificado para determinar si el certificado sigue siendo válido.

Causa: En Windows Vista se han llevado a cabo mejoras en el funcionamiento del protocolo OCSP (Online Certificate Status Protocol), permitiendo a IE7 mejorar la seguridad mediante la comprobación de revocación por defecto.

- Si eres administrador de red, puedes configurar esta característica usando la directiva de grupo (gpedit.msc), siguiendo esta ruta:

Configuración de equipo \Plantillas administrativas \Componentes de windows \Internet Explorer \Panel de control de Internet \Página de Opciones avanzadas \Comprobar la revocación de certificados del servidor. Si deshabilitas la directiva, no se comprobará la revocación.

- Si eres usuario final de IE7, y esta característica causa problemas de funcionamiento en tu entorno, puedes deshabilitarla desmarcando la opción "Comprobar si se revocó el certificado de servidor", que encontrarás en el menú Herramientas > Opciones de Internet > Opciones avanzadas > apartado Seguridad.


Mejoras de seguridad HTTPS en Internet Explorer 7
http://ekort.blogspot.com/2007/09/m...ernet.html


Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com
ekort@mvps.org

Windows Vista x86/x64 (RTM) Build 6.0.6000
Internet Explorer 7 (RTW) Build 7.0.5730.11 en XP-SP2


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.

_____________________________________________________________________________________
 

Leer las respuestas

#1 Leandro Páez
03/10/2007 - 13:28 | Informe spam
"Enrique [MVP Windows]" escribió en el mensaje
news:
Mejoras de seguridad HTTPS en Internet Explorer 7

___________________________________________________________


. Síntoma: Al navegar a un sitio web seguro HTTPS que presenta un
certificado de seguridad que contiene errores, se exhibe una página de
error.

Causa: Para mejorar la seguridad y la experiencia del usuario, IE7
bloquea la navegación a los sitios HTTPS que presentan certificados de
seguridad conteniendo errores. Este cambio sustituye la caja de diálogo
modal que mostraba IE6.

- Si eres desarrollador de aplicaciones web, asegúrate que utilizas
certificados de seguridad válidos, que no hayan expirado, y que sean
emitidos por entidades emisoras de certificación de confianza. Asegúrate
también de que la dirección expuesta en el certificado coincide con la del
sitio web.

- Si eres usuario final de IE7, no hay solución al problema si el
certificado del sitio ha caducado; entra en contacto con el webmaster y
solicita que actualice el certificado. Si la dirección en el certificado no
coincide con la dirección del sitio web, puedes deshabilitar la advertencia
de seguridad desmarcando la opción "Advertir sobre la falta de coincidencia
en la dirección de los certificados" en el apartado Seguridad de la sección
Opciones Avanzadas del panel de control de IE7. No se recomienda cambiar
este ajuste de seguridad. Si el certificado de seguridad no fue emitido por
una entidad de certificación de confianza, puedes agregar esta entidad de
certificación si realmente confías en ella. Confiar en una autoridad de
certificación malintencionada puede poner tu equipo en peligro. Para agregar
una autoridad de certificación de confianza, sigue estos pasos:

a) continúa la navegación de la página de error del certificado.
b) pulsa seguidamente en "Error de certificado" en la barra de
direcciones.
c) pulsa en "Ver certificados".
d) pulsa en "Ruta de certificación" y comprueba que realmente se trata de
la entidad certificadora en la que vas a confiar.
e) pulsa en la pestaña General y en "Instalar certificado". Sigue los
pasos del Asistente para importación de certificados. Debes instalar el
certificado en el almacén "Entidades emisoras raíz de confianza".
f) pulsa en Aceptar y en Siguiente.
g) pulsa en Finalizar. Recibirás un mensaje de seguridad en pantalla. Si
realmente confías plenamente en esta entidad certificadora, pulsa en Sí para
instalar el certificado.


He seguido los pasos descritos pero lo mismo me dice que el certificado de
seguridd no fue emitido por una entidad de certificación de confianza
en esta página
https://auth.ddjjonline.gov.ar/cgi-...ngreso.cgi
a la cual se accede desde
www.ddjjonline.gov.ar > Ingresar como funcionario declarante
Para logearse al sitio



De todas formas, es posible que no llegue a instalarse dicho certificado
si Windows no tiene la suficiente información como para asegurar que se
trata de una entidad de confianza. En tal caso, únicamente queda la opción
de descargar e instalar el certificado proporcionado por dicha entidad.

Cómo se hace esto otro?

Preguntas similares