SSL: Error de concepto en Gmail. Lo correcto: mejor cifrar (con certificados sub-standard) que no cifrar


Algunos usuarios de Gmail aprovechan la posibilidad de recoger su correo en otras cuentas y consolidarlas en una única interfaz de usuario.

Si el prestador del servicio de correo electrónico cuenta con una conexión SSL, Google se posiciona en plan tikismikis, e implide el acceso al correo si se utiliza un certificado autofirmado o un certificado de un Prestador de Servicios de Certificación que no está en el repositorio de Mozilla.

Este es el texto explicativo del mensaje de error: Utilizar siempre una conexión SSL (conexión segura) para recuperar mensajes de correo electrónico:

Si la cuenta de correo electrónico con la que obtienes mensajes admite la encriptación SSL1 (capa de conexión segura o Secure Sockets Layer), puedes seleccionar esta opción para que toda la información se envíe a través de una conexión segura.

Si seleccionas esta opción y tu proveedor de correo electrónico admite SSL, Gmail te avisará de que hay un error en la configuración. En este caso, al hacer clic en Mostrar detalles del error se mostrará, probablemente, un Error de protocolo. Antes de continuar, tendrás que desmarcar esa selección.

¿Cuáles son las ventajas de SSL?

Gmail utiliza la seguridad SSL “estricta”. Por eso, siempre preferimos que el servidor remoto de tu otro proveedor de servicios tenga un certificado SSL válido, pues ofrece un nivel más alto de seguridad y una protección mayor de tus datos.

¿Qué hago si veo un mensaje de error?

Te aconsejamos que te dirijas al servicio de atención al cliente de tu otro proveedor de correo electrónico y que les describas el error para que te ayuden a configurar su SSL. Si no se soluciona el error, inhabilitaremos la obtención de tus mensajes y dejaremos de recuperarlos de tu otra cuenta. Como solución alternativa, puedes inhabilitar el uso de SSL en Gmail: ve a la pestaña Cuentas e importación de la configuración de tu correo y desmarca la opción Utilizar siempre una conexión SSL (conexión segura) para recuperar mensajes de correo electrónico. Pero eso implica que tu contraseña y dirección de correo ya no se enviarán protegidas por Internet, así que no te recomendamos que inhabilites esa opción.

¿Qué autoridades certificadoras admite SSL?

No aceptamos certificados autofirmados. Solo consideramos válidos los certificados emitidos por una autoridad de certificación (CA) válida, como son las incluidas en la lista de CA de Mozilla.

  1. SSL: Una SSL (del inglés “Secure Socket Layer” o capa de conexión segura) es una manera de cambiar datos mediante códigos mientras viajan por Internet, como tu nombre de usuario y tu contraseña, de manera que los datos permanecen seguros y son privados.

El SSL es un protocolo que utiliza una clave de sesión para cifrar la información que viaja y evitar que transite “en claro” por los sistemas informáticos intermedios. La clave de sesión se cifra con la pública del ordenador de destino, extraída del certificado, de modo que solo este es capaz de descifrar la información (usa la clave de sesión descifrada con su privada).

El Certificado no aporta mucho: aporta un incremento extra de seguridad en casos de ataques man-in-the-middle (en los que el atacante puede usar un certificado autofirmado tan imposible de verificar como el autofirmado “legítimo” que usa el servidor de correo) y un chequeo de coincidencia de los datos de dominio que figuran en el certificado con los reales (que no es muy util salvo que intervenga un PSC “de los de verdad”).

La verdadera utilidad del SSL es el cifrado, y por eso, muchos sistemas advierten del riesgo de los certificados autofirmados, o caducados, o referidos a URLs que no coinciden con la real, dejando que el usuario tome la decisión final de aceptarlos. O no.

Gmail toma la decisión por el usuario al adoptar la política de seguridad que impone la modalidad “estricta” de SSL y como opción para el usuario ofrece la posibilidad de usar conexiones sin cifrar.

En mi opinión, lo correcto es explicar los riesgos, y dejar que sea el usuario que tome la decisión, porque es mejor usar conexiones cifradas aunque los certificados sean “sub-standard” que conexiones sin cifrar.

Por cierto, aunque el correo se obtenga por una conexión cifrada, esa no es la verdadera aportación del SSL en relación con IMAP o POP3, ya que el correo transita sin cifrar entre servidores SMTP. La verdadera aportación es que la clave de usuario se cifre al inicio de la comunicación.

Un pensamiento en “SSL: Error de concepto en Gmail. Lo correcto: mejor cifrar (con certificados sub-standard) que no cifrar

  1. Josep Monés Teixidor

    Hola Julián,

    Es cierto que gmail se ha puesto un poco tiquis miquis. Me pregunto si es por su reciente política de reducir servicios y partes free en sus servicios o es realmente por un interés en seguridad.

    En todo caso también es cierto que, excepto para un eavesdropping (mirar lo que pasa sin intervenir), los ataques que, en caso de SMTP sin cifrar, desembocarían en una modificación del email, también se pueden hacer si el certificado está autofirmado (ya que requieren un MITM, man in the middle, ser capaz de interceptar el email en el camino desde el emisor al receptor).

    Cuando se consolida un statu quo en seguridad, a veces se tiene que provocar una determinada incompatibilidad o incomodidad para que las cosas se muevan.

    Otro comentario es que los servidores SMTP “pueden” intercambiar correo cifrado entre ellos, si implementan TLS sobre el SMTP, aunque es imposible de controlar su aplicación si no tienes acceso a configurar tu servidor de correo. En el caso de gmail, curiosamente, la última notícia que tengo (aunque antigua) es que sus servidores utilizaban certificados que terceros tenían dificultades en verificar:

    Saludos!

    Responder

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s