Si es así la conexión se establece correctamente y en la barra de direcciones se muestra de color verde el protocolo HTTPS.
Si el navegador comprueba que el certificado del sitio es falso o no esta actualizado, se bloquea el y se muestra un mensaje que es diferente en cada navegador.
Debido a un fallo reciente en el protocolo SSL usado por estos servidores llamado Heartbleed, muchos sitios han renovado sus certificados en vez de revocarlos como seria lo correcto, por lo que un atacante puede seguir usando en estos casos un certificado ya comprometido.
Es necesario comprobar si el navegador que usamos puede detectar correctamente la validez de uno de estos certificados, para eso podemos realizar una prueba sencilla que indicamos en esta página.
Comprobar si un navegador detecta la validez de un certificado SSL
Inmediatamente después del anuncio de Heartbleed surgieron servicios que hacen posible comprobar manualmente si un sitio o servicio está afectado, como Heartbleed Bug ChekerPero esto no basta.
Es necesario comprobar si nuestro navegador chequea correctamente la validez de un certificado ya que no siempre sucede así.
Para ese propósito en Cloudflare uno de los servicios CDN más grandes y poderosos especializados en la protección de sitios, crearon un sitio web de prueba, es decir un sitio que usa la versión de OpenSSL con fallos.
Para hacer la prueba solo es necesario tratar de entrar a este sitio con el navegador.
No hay peligro alguno, el sitio consta de una sola página inofensiva.
Si nuestro navegador está configurado correctamente, bloqueará el a dicha página mostrando un mensaje de alerta.
En cambio si podemos ver su contenido sin ninguna alerta, la configuración del navegador anda mal.
Para hacer la prueba copia y la siguiente dirección en tu navegador:
https://www.cloudflarechallenge.com/heartbleed
Ejemplos de las alertas que muestran los navegadores ante un certificado no valido
El resultado en el navegador Internet Explorer será similar a la siguiente imagen.
En el navegador Firefox
En el navegador Google Chrome
¿Qué hacer si el navegador no detecta la validez de un certificado?
En el navegador Google Chrome abre la ventana de Configuración.Desciende hasta la parte inferior y da un clic en: “Mostrar opciones avanzadas”.
En HTTPS/SSL marca la casilla: “Comprobar la revocación del certificado del servidor”
Si no basta al final puedes usar el botón “Restablecer la configuración del navegador”.
En el navegador Firefox abre las Opciones y ve a la pestaña Avanzado.
En Certificados marca y desmarca: “Preguntarme siempre”
Guarda los cambios.
Si no basta en el menú de Ayuda escoge: “Información para solucionar problemas”.
Usa el botón: “Restablecer Firefox”
En Internet Explorer y Opera no se reportan problemas.
Sitios y servicios de internet afectados por Heartbleed
En nuestro blog en Blogger compartimos el resultado de una investigación publicada originalmente en Mashable, en la que se indican los principales sitios y servicios afectados por Heartbleed, en los que se aconseja cambiar las contraseñas.Lo repetimos en este post.
Son los siguientes
Facebook, Instagram, Yahoo, Flickr, Pinterest, Tumblr, Google, IFTTT, GitHub, Dropbox, Box, Netflix, GoDaddy, SoundCloud.
También se pudo conocer cuáles son los sitios que aparentemente no han sido afectados.
Son los siguientes:
LinkedIn, Twitter, Apple, Amazon, Microsoft, AOL, Hotmail/Outlook, Evernote, eBay, PayPal.
Más información
Lee más información relacionada con el uso en internet de los protocolos HTTPS, SSL y TLS:Cuando y para que usar HTTP o HTTPS al navegar en internet