Acabo de leer en barrapunto.com una nota que me pareció interesante, la cual comento por aquí a pesar que es un off-topic del tema de Java. Como el título lo menciona, las 3/4 partes de los sitios web que utilizan SSL son considerados inseguros por www.trustworthyinternet.org.
Un certificado SSL para web server se basa en tecnología de Secure Sockets Layer (SSL): Es una llave pública y privada generada mediante el algoritmo criptográfico de llave pública RSA, la cual permite al navegador enviar datos al servidor web de forma segura (todos pueden ver el mensaje pero solamente el servidor puede interpretarlo). El servidor web entrega la llave pública al navegador cuando éste visita la página, y la llave privada se guarda celosamente por el servidor. El navegador encripta la información que desea enviar al servidor (por ejemplo un formulario que enviará por método POST) y para ello solo le basta tener la llave pública del servidor. Por otro lado, para que el servidor pueda interpretar el mensaje, necesita tanto de la llave pública como la llave privada. La relación entre la llave privada y la llave pública es sencilla: Son números primos relativos. El mensaje encriptado es una manipulación matemática, de tal forma que para desencriptarlo es necesario factorizar el producto de los binomios (p - 1)(q - 1) y la fortaleza del algoritmo reside en que dado que p y q son números muy grandes, tomará mucho tiempo (cientos o miles de años) conseguir la factorización. Al que esté interesado les recomiendo esta lectura, en donde se se describe cómo unos investigadores pudieron romper el algoritmo RSA mediante un esfuerzo colaborativo.
La llave pública del servidor se firma digitalmente por una Autoridad Certificadora (Certification Authority) como Verisign, Thawte, etc. La firma digital de la CA no viene gratis, es necesario enviar cierta documentación requerida (comprobantes de domicilio, identidad, pruebas de propiedad del dominio de internet, entre otras) y una vez que la CA está satisfecha de que quién solicita el certificado SSL para web server es realmente quien dice ser, firma digitalmente la llave pública del servidor y es lo que finalmente conocemos como certificado SSL. La firma digital de la CA es lo que nos da la certeza de que el sitio web es auténtico, y no se trata de un pillo que adquirió un dominio de Internet con el nombre "coca-cola" y pretende vender refrescos en línea de manera ilegal.
Desde que se introdujo la tecnología SSL para servidores web se han venido presentando fallas, las cuales se han ido arreglando hasta el punto en que ya es considerado seguro. El problema que se menciona en los artículos es que una gran cantidad de sitios web todavía cuenta con todos los problemas que ya han sido erradicados, y básicamente es a causa de una mala configuración del servidor web. Si alguien aquí tiene a su cargo algún portal asegurado con SSL no le vendría mal verificar que no se encuentren los problemas mencionados en el artíclulo.