Lisandro Pardo
Los certificados son piezas críticas para garantizar la integridad de las conexiones seguras en la Web. En más de una oportunidad hemos escuchado sobre certificados falsos o ataques específicos que buscan modificarlos de un modo u otro, pero son algo generalmente desconocido para el usuario promedio. El método oficial de verificación que ofrece Windows es a través de certmgr.msc. Sin embargo, un pequeño programa llamado CTLInfo presenta los datos principales en una simple interfaz.
Han pasado más de tres años desde que el escándalo Superfish sacudió los cimientos de Lenovo. La idea de utilizar certificados falsos para inyectar publicidad básicamente califica como malware, y el fabricante chino debió actuar con rapidez, activando un amplio control de daños. Por otro lado, es preocupante saber que muchos sitios con alto volumen de tráfico ofrecen conexiones inseguras a sus visitantes. El proceso no es tan complicado, e incluso Let’s Encrypt los emite de forma gratuita. Ahora, no es mala idea que el usuario esté más informado sobre los certificados. El problema es que Windows no presenta sus detalles abiertamente. La ruta oficial requiere abrir certmgr.msc, pero su división en categorías hace más complicadas las cosas.
Explorando certificados con CTLInfo
Aquí aparece CTLInfo, que reporta todos los certificados en el sistema (de confianza o no) bajo una simple lista. El programa explica que Windows realiza actualizaciones de certificados confiables una vez por semana,y el resto es verificado diariamente. La buena noticia es que CTLInfo enseña todos los certificados de forma sencilla. La mala es que los detalles no van más allá de su nombre general y el Subject ID. Otros aspectos como la fecha de vencimiento y el emisor original deberán ser comprobados en certmgr.msc. CTLInfo incluye un botón en su interfaz que en teoría obliga a Windows a actualizar certificados. Sin embargo, la función no está disponible en Windows 10.
Después de investigar un poco su desarrollo, CTLInfo transmite la sensación de haber sido abandonado. Eso explicaría el limitado estado actual de la aplicación, y es una pena, porque hay mucho potencial aquí. Los usuarios necesitan saber más sobre los certificados, y CTLInfo podría ser la clave. Esperamos que el desarrollador extienda su capacidad en el futuro.
