Práctica Gmail

Práctica Gmail

Abrimos el navegador y nos conectamos a gmail.com. Aparecerá la página para introducir usuario y contraseña. Esta es una página segura y vamos a comprobarlo. Buscamos en el navegador el icono asociado. En la versión de Chrome de la Figura 2.76 es un candado verde junto a la URL (que ya vemos que utiliza el protocolo seguro HTTPS)

 Al pulsar sobre el candado aparecen las características de seguridad. En este ejemplo dice que la web accounts.google.com es quien dice ser, según la CA de la empresa Thawte. También dice que en la comunicación se está utilizando el algoritmo de cifrado RC4_128 con una clave de 128 bits. Esa clave se acordó en un canal asegurado mediante ECDHE_RSA. La autenticación utiliza el algoritmo SHA1.

 Si pulsamos en Datos del certificado aparece la información general del mismo: usos posibles de la clave pública que están firmando, identificador del solicitante y de la CA, y caducidad. En los usos podemos ver que sirve tanto para un servidor que quiere demostrar a un cliente que es quien dice ser como para un cliente que necesita demostrar al servidor que es quien dice ser. El intervalo de validez no es demasiado amplio (dos años), pero es más que suficiente para el uso que estamos haciendo (abrir el correo). En general, las operaciones en la web suelen durar muy poco tiempo.

Si vamos a la pestaña Detalles podemos consultar todos los campos del certificado según el estándar X.509 : versión, algoritmos, emisor, sujeto, etc.

 Finalmente, en la pestaña Ruta de certificación tenemos quién respalda a quién . Vemos que accounts.google.com está autentificado por Google Internet Authority G2, y que a su vez Google Internet Authority G2 está autentificado por GeoTrust CA.

 Si hacemos doble clic en Google Internet Authority G2 veremos su certificado . En los datos generales tenemos el destinatario y el emisor, así como la caducidad y los usos posibles. 

 Haciendo doble clic sobre el tercer certificado veremos la información de un certificado raíz . Es muy diferente a los anteriores: más usos, más duración de la validez y, sobre todo, está firmado por sí mismo (el destinatario y el emisor son el mismo). Por tanto, es un certificado que venía con el sistema operativo o lo hemos instalado nosotros mismos.

La mayor duración de la validez (diez años) refleja que esa CA firma claves para procesos mucho más duraderos que una simple sesión web. Por ejemplo, contratos entre compañías, entre una compañía y un cliente o incluso entre una compañía y un empleado. El equivalente en el mundo real es el notario, donde acuden los interesados para asegurar que no existirá repudio por ninguno de ellos sobre el acuerdo alcanzado y formulado en un contrato o cualquier otro documento.

La lista de certificados que tenemos almacenados en la máquina está en Propiedades de Internet (esta herramienta también suele estar accesible al entrar en la configuración de los navegadores). Vamos a la pestaña Contenido y pulsamos el botón Certificados. Aparece una ventana con varias pestañas.

Pulsando en Entidades de certificación raíz de confianza, la tabla ofrece la identidad del solicitante del certificado, la identidad del emisor del certificado y la fecha de emisión. Ahora podemos encontrar la entidad del paso anterior. Un doble clic sobre ella nos muestra los datos que esperábamos.