Validar la huella de certificados SSL de webs seguras

Desde hace mucho suelo validar siempre las huellas o fingerprint de los certificados de webs seguras o https. Hace tiempo únicamente estaba disponible como SHA-1 (ya no se considera seguro). Afortunadamente se actualizó a SHA-256 para mayor seguridad. Steve Gibson incluso tenía (y tiene aún, aunque en SHA-1) un apartado en su web para las huellas de webs muy conocidas y la opción de poner el dominio que prefieras para comprobar si te da el mismo resultado la huella digital SHA-1:

https://www.grc.com/fingerprints.htm

Ya no la recomiendo porque como dije está desactualizada y únicamente en SHA-1, por lo que no es seguro.

Normalmente entramos a ciertas webs muy habitualmente donde tenemos que introducir nuestro usuario y contraseña. Si lo piensas tampoco serán muchas, quizás para leer tu correo, para hacer unas compras, alguna red social...

Aunque algunas webs muy importantes o grandes suelen usar más de 1 certificado (y por lo tanto varias huellas diferentes, un ejemplo es Twitter), la mayoría suelen usar siempre el mismo. Así que te aconsejo que apuntes las huellas de dichas webs y siempre que vayas a entrar te asegures de que dicho certificado es el correcto antes de escribir tu usuario/contraseña.

Hacerlo es muy sencillo. Tan sólo tienes que pinchar en la barra de navegación de tu navegador favorito, a la izquierda del https de la web, y seguro que encuentras la opción para ver el certificado o más información, y en alguna de las opciones verás que te mostrará más información del certificado y saldrá algo como esto: SHA-256 Fingerprint 95:B3:3B:54:36:23:6F:D3:34:42:2A:75:1F:FA:D6:3A:81:55:87:4D:12:BD:05:FF:99:D2:4C:BD:5D:31:EF:BD

Puedes apuntar únicamente los 2 o 3 primeros pares de caracteres y los 2 o 3 últimos de la huella para comprobarlos cada vez que entres a dicha web. Piensa en tu seguridad. Cada vez hay más ataques críticos contra esto y son más difícil de evitar, no solo ataques de phishing sino otros más complicados.

Debes saber que un certificado digital puede ser falsificado y existen ataques para que se acepte un certificado falso como verdadero. De forma que te saldría la web con su https y su candado dando a entender que es una web segura, pero en realidad la información que estás introduciendo pasa por un hombre enmedio que está capturándolo todo y luego lo redirige de nuevo para que no salte ninguna alarma. En este caso tus credenciales ya han sido crackeadas. Pero si has apuntado las huellas correctas de dicho certificado y las compruebas antes no te engañarán.

Lo que sí debes tener en cuenta es que cuando el dominio de una web expira, al renovarse suelen cambiar el certificado y por lo tanto cambia su huella, en cuyo caso deberías contactar de alguna forma con dicha web para asegurarte de que la huella del certificado que ahora tienen es la correcta.