Configuración de dificultad: fácil
Dificultades: no hay
Útil contra: interceptación

La comunicación en Internet puede ser cifrada (es decir, sólo pueden decodificarla el remitente y el destinatario) o abierta (puede ser leída por cualquiera).

En muchos casos se puede usar comunicaciones cifradas, pero la mayoría de los navegadores, no lo hacen de forma automática. HTTPS Everywhere es una extensión disponible para Firefox y Chrome que resuelve este problema.
Se instala con un solo clic y se gana en seguridad: la interceptación de las comunicaciones cifradas son de hecho muy difícil, y para conseguirlo debe ser un atacante muy motivado.

Cuando usamos una comunicación  cifrada, queremos estar seguras de que estamos hablando con el sitio que realmente queremos hablar y no con una tercera parte. Por ejemplo, necesitamos saber cuando accedemos a una nuestro mail que realmente es nuestro servicio de correo y no una web que lo simula para conseguir nuestros datos. Pero ¿cómo distinguir si la página es realmente de su legítimo propietario y no de uno que se hace pasar por él?

Los navegadores utilizan un método de “certificación” significa cualquier sitio HTTPS tiene un “certificado” de identidad , que puede ser firmado por entidades llamadas ‘autoridades de certificación’ (AC). Teniendo en cuenta que cualquier persona podría hacer una CA y firmar lo que quisieran, hay que decidir cuáles son de confianza AC y cuáles no.

Los navegadores son bastante decepcionantes en este aspecto: incluyen prácticamente cualquier persona como una CA válida.

Nada impide que una CA firme un certificado falso, lo que permitiría a  un tercero hacerse pasar por otro sitio.
Por ejemplo, una fuerza de la policía puede pedir Verisign (una importante CA) un certificado en nombre de google.com y luego hacerse pasar por google en tu conexión.

Un certificado autofirmado es un certificado que no ha sido firmado por una CA, o bien ha sido firmado por una CA de la que el navegador no se fía. Los navegadores consideran esto una amenaza, y esta es la típica pantalla que vemos indicando que estamos a punto de navegar en una página no segura y nos ofrece salir de ahí o hacer una excepción.

En algunos casos se trata de una alarma inútil: muchos sitios se niegan a estar bajo el chantaje de las CA y optan por auto firmarse su propio certificado. Es el caso, por ejemplo, de autistici.org, indivia.net y muchos otros sitios de activismo.

En otros casos, esto sí es un verdadero problema: si vemos un sitio “comercial” (google, facebook, hotmail …) con un mensaje de este tipo, lo más probable es que alguien esté intentando suplantar la identidad de estas páginas para acceder a nuestros datos.

Esto ha sucedido algunas veces, así que no debemos ignorar las alertas de nuestros navegadores sino valorar en cada caso según el contexto.