Embed Size (px)
Citation preview
1
Próximos cambios de seguridad en los navegadores web:
¿Qué necesita saber?
Dean CoclinSr. Director, Business Development
Actualización de Phishing
Tendencias del año pasado hacia https
¿Qué ha cambiado?
01
Agenda
02
03
3SYMANTEC CONFIDENTIAL- INTERNAL USE ONLY Copyright © 2017 Symantec Corporation
Section
Tendencias del año pasado
1
o Los navegadores de internet ya advierten sobre las conexiones no-https.
o Las Entidades de Gobierno están migrando todas sus conexiones a https.
o Características potentes del navegador sólo disponibles a través de https.
o Protocolo http2 solo sobre https.
o Datos de referencia solo a traves de https.
¿Recuerda estos puntos?
5SYMANTEC CONFIDENTIAL- INTERNAL USE ONLY Copyright © 2017 Symantec Corporation
Section
¿Qué ha cambiado?
2
o >75% de páginas cargadas en Chrome sobre https.
o >50% de páginas cargadas en Android sobre https.
Ahora tenemos...
Comparación (datos de Google Chrome)
Ene 2016
% de los 100 sitiosprincipales soportan https
% de los 100 sitiosprincipales
predeterminados en https
% de los 100 sitiosprincipales soportan https
% de los 100 sitiosprincipales
predeterminados en https
39%
May 2017
24%
60%
56%
Nuevo comportamiento de Chrome
Cambios en Chrome
https://security.googleblog.com/2017/04/next-steps-toward-more-connection.html?m=1
Otros navegadores
Firefox deshabilita
Geolocalización
sobre http (Versión
55).
Apple soporta CT.
Microsoft
solicita la
revocación de
certificados DV en
sitios fraudulentos.
https://bugzilla.mozilla.org/show_bug.cgi?id=1072859
Nuevos dominios .gov
A partir de la primavera de 2017, todos los nuevos dominios
que se registren como .gov serán enviados a los
navegadores para una “precarga”. Los navegadores
validará que la conexión sea estrictamente https.
https://cio.gov/automatic-https-enforcement-new-executive-branch-gov-domains/
Aplica para dominios y sub dominios.
No se permitirá hacer click a omitiendo advertencias.
Seguimiento de la adopción .gov a https
.gov a través de HTTPS
https://github.com/GSA/https/pull/223#issuecomment-270268431
Portales web de noticias usando https
https://securethe.news/
De los sitios de noticias
ofrecen https.Predeterminan
a https.
Sitios comprometidos
a cambiar.
Cada portal web de noticias debería ser seguro.
El cifrado HTTPS permite seguridad, privacidad y previene la censura.
¡Estamos siguiendo la adopción!
El número de certificados DV aumentó 335% en el último año
Según Netcraft
Desglose de tipos de
certificados
junio 2016
DV78%
OV19%
EV3%
Total de Certificados : 5,328,455
Desglose de tipos de
Certificados
junio 2017
DV94%
OV5%
EV1%
Total de Certificados : 19,344,017
Tipo
Certificado
Crecimiento
anual
DV 335%
OV 5%
EV 11%
Total 263%
81%
12%
4%1% 0,90% 0,80%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Symantec** Digicert Comodo GlobalSign Other GoDaddy
TR
AN
SA
CC
ION
ES
PROTEGIDA POR
Transacciones de e-Commerce cifradas en todo el mundo*
*Fuente: Análisis de la investigación Comscore de 2017 encargada por
Symantec
** Incluye las subsidiarias de Symantec, afiliados y revendedores.
Certificados que cambian a Let’s Encrypt
63.644
6.0002.167 889 415 244 110 98 42 27 24 22 21 7 7
0
10.000
20.000
30.000
40.000
50.000
60.000
70.000
Co
mo
do
Wo
Sig
n
Sym
an
tec
Go
Da
dd
y
Glo
balS
ign
Oth
er
Am
azo
n
Dig
iCe
rt
Tru
stw
ave
Asseco
En
tru
st.n
et
TE
RE
NA
Ne
two
rk S
olu
tio
ns
Qu
oV
ad
is
TA
IWA
N-C
A
Nú
me
rod
e c
ert
ific
ad
os
La mayoría de los Certificados que cambian de Comodo a Let’s Encrypt eran anteriormente Certificados de cPanel
cPanel, Inc.88%
COMODO CA Limited
11%
Otro1%
Comodo cambiando a Let’s EncryptDesglose del tipo de certificado
Total de Certificados que cambiaron de Comodo desde Octubre 2016 – Junio 2017:
256,420
Tipo Certificado Comodo# de Certificados
que cambiaron% del Total
cPanel, Inc. 225,316 88%
COMODO CA Limited 29,184 11%
Gandi 1,481 0.58%
Internet2 191 0.07%
GANDI SAS 135 0.05%
Globe Hosting, Inc. 50 0.02%
EUNETIC GmbH 27 0.01%
TBS INTERNET 23 0.01%
Register.com 8 0.003%
DREAMSCAPE NETWORKS FZ-
LLC3 0.001%
WebSpace-Forum, Thomas
Wendt1 0.0004%
The USERTRUST Network 1 0.0004%
19SYMANTEC CONFIDENTIAL- INTERNAL USE ONLY Copyright © 2017 Symantec Corporation
Section
Actualización de Phishing
3
¿Cuál es el sitio real de PayPal?
¿Qué significa esto?
o El sitio está seguro.
o El sitio es real y no contiene vulnerabilidades.
o Sé quién dice ser el sitio.
o El sitio no tiene malware.
o Puedo estar seguro que lo que compre en este sitio es auténtico.
¡LO SIENTO!, todo lo que significa es que los datos se cifran entre su computador y el servidor, y que usted está conectado a ese nombre de dominio.
¿Cómo sabemos si es el dominio correcto?
o DV: No hay información de propiedad. o OV/EV: Datos sobre el propietario en el certificado.
Otro sitio de PayPal
Sitio de Phishing de Amex
Estadísticas de Phishing
Certificados emitidos a sitios de Phishing
26Copyright © 2017 Symantec Corporation
Let’s
Encrypt
3,109
Comodo
2,100
GoDaddy 69Symantec 50 Actalis 19 GlobalSign 15 Stratro AG 9 StartCom 6 TrustAsia 4 Amazon 3
Interfaz de Usuario propuesta por el navegador 360
Dueño de SSL con EV, candado verde, con el nombre de la
empresa.
Dueño de SSL con OV, candado gris
28SYMANTEC CONFIDENTIAL- INTERNAL USE ONLY Copyright © 2017 Symantec Corporation
LOS NÚMEROS DE SSL EN LATINOAMERICA
¿Qué podemos hacer?
Firmar la petición! https://casecurity.org/identity/
La identidad del sitio web esimportante para la seguridaddel usuario. DV no proporcionaidentidad comercial.
1
Tipos de certificados TLS quese utilizan para proteger sitiosweb: EV, OV y DV – Cada unodebería recibir un indicador deseguridad de interfaz deusuario claramente definidoque muestre a los usuarioscuando la identidad de un sitioweb ha sido confirmadaindependientemente.
2
Los navegadores deben
adoptar un conjunto común de
indicadores de seguridad de
interfaz de usuario de
navegador para cada tipo de
certificado y deben educar a
los usuarios sobre las
diferencias para promover la
seguridad del usuario.
3
Q&A
Gracias!
Dean Coclin@chosensecurity
+1 617 252 3035
