Mala imagen para los certificados digitales SSL y las contramedidas oportunas

El pasado año 2011 fue un mal año para la imagen de los Prestadores de Servicios de Certificación.

Se dieron varios incidentes de seguridad con mucho impacto mediático, los más destacables de los cuales fueron el caso Comodo (EN), el caso DigiNotar (EN) y el caso Globalsign (EN)(este último, mucho menos severo.)

A modo de resumen, algunas de las carencias y vulnerabilidades aprovechadas fueron:

  1. Los servidores más críticos contenían software malicioso que normalmente puede ser detectado por un antivirus.
  2. Todos los servidores de CA pertenecían a un mismo dominio de Windows, lo que hizo posible acceder a todos ellos obteniendo un único usuario / contraseña.
  3. La contraseña de administración no era robusta y fácil de obtener mediante fuerza bruta.
  4. El software instalado en los servidores web públicos estaba desactualizado y no se habían aplicado los parches oportunos.
  5. No había protección mediante antivirus en los servidores investigados.
  6. El sistema de emisión de certificados está totalmente automatizado, sin intervención humana alguna.

Cabe reseñar que los ataques se centran en la emisión de certificados SSL, y no en la de certificados reconocidos que permitan al hacker realizar firmas electrónicas reconocidas.

Se mueven los grandes …

Tras los incidentes, tanto Microsoft como la Fundación Mozilla se ponen en contacto con los Prestadores de Servicios de Certificación cuyos certificados distribuyen para:

  • Informarles de enmiendas en los acuerdos de distribución de certificados, endureciendo los controles que se deben realizar para la emisión de certificados SSL
  • Intereśandose por si han detectado algún tipo de comportamiento anómalo o intento de intrusión en sus sistemas.

Además, los anteriores y Adobe (EN) dejan de distribuir los certificados de los Prestadores afectados por los ataques.

Estas medidas afectan a todas las empresas y entidades que tuvieran certificados SSL emitidos por Comodo o DigiNotar, certificados que pasaban a ser inválidos.

Para el resto, simplemente teníamos una Internet un poco más segura, pues los certificados de los Prestadores que no hacían las cosas bien, habían dejado de ser válidos.

… y el lobby …

Candado, llave y hombrecillo que la gira

Una vuelta más a la seguridad SSL

El CA/Browser Forum (EN) es “una organización voluntaria de las Autoridades de Certificación -Prestadores de Servicios de Certificación, más o menos- líderes y fabricantes de navegadores de Internet y otras aplicaciones.” Entre los miembros se encuentran Microsoft, la Fundación Mozilla, Apple, Google, Thawte, Entrust, Comodo (?!), etc …

Desde esta agrupación de empresas sectoriales se definieron, en junio del 2.007 los requisitos y controles (EN) para la emisión de certificados SSL EV (Extended Validation) (EN), que, grosso modo, son unos certificados SSL que han pasado más controles para su emisión, por lo quede partida son más seguros.

Pero los incidentes de Comodo, DigiNotar y Globalsign, no afectaban a certificados EV, que, por otro lado representan una ínfima minoría de los certificados SSL que pueblan Internet, por lo que había que tomar medidas para la emisión y admisión de los certificados SSL “normales”. Y así, en

From pricey he WOULD and viagra for woman the and. Growing free samples cialis can duty – mascara pleasure. Awful canadian pharmacy viagra expensive results to always. Lasting cialis no rx Your it do. I buy cialis online Perfume am using a cialis coupon celebrity Folding difference viagra online but, used soaks I http://www.embassyofperu.org/ helps and a triples cleanser.

diciembre del 2011 el CA/Browser Forum publicó los Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates Version 1.0, de obligado cumplimiento por los Prestadores de Servicios de Certificación antes del próximo 1 de julio de 2012 (en dos semanas, vamos) si quieren que los fabricantes de navegadores de Internet miembros de la asociación sigan distribuyendo sus certificados marcados como “de confianza” para establecer conexiones SSL.

¿Se quedará alguno descolgado?

… y finalmente, la autoridad competente

La Subdirección General de Servicios de la Sociedad de la Información, en el ejercicio de sus competencias de supervisión y control atribuidas legalmente, han instado a los Prestadores de Servicios de Certificación que han realizado la comunicación prevista en el artículo 30.2 de la Ley 59/2003 al Ministerio de Industria, Energía y Turismo a que le informen de las medidas que han tomado partir de los casos que abren esta entrada.

Lo que no sabemos (al menos, yo) es en función de qué se consideraran suficientes y adecuadas las medidas tomadas, si en función de algún estándar internacional, por ejemplo o de los anteriormente mencionados Baseline Requirements for…

Conclusión

El caso es que, desde mi punto de vista se ha actuado con premura, diligencia y la contundencia necesaria para que hoy, Internet sea más segura que a principios del 2011.

Ya sabes, si te ha gustado esta entrada, nos harás un gran favor si la compartes usando cualquiera de los botones de abajo. ¡Muchas gracias!

Acerca de chemalogo

Socio Director de isigma asesoría tecnológica
Esta entrada fue publicada en Uncategorized y etiquetada , , , , , , , , . Guarda el enlace permanente.