A oscuras: cuando el sol se pone demasiado pronto
El panorama de la seguridad en Internet cambia constantemente. Los datos impulsan las decisiones que toman las organizaciones sobre su postura de seguridad; cuando esos datos son incompletos, prever las consecuencias de los cambios en la seguridad resulta casi imposible. A principios de este mes, a instancias de Symantec Corporation, Google ha eliminado la confianza en un certificado raíz de CA de Verisign heredado de sus productos, incluido el sistema operativo móvil Android y el navegador web Chrome.
"Pero Michael, es una CA heredada... ¿No forma esto parte del proceso normal de puesta a sol de un certificado raíz público?".
Sí, se trata de una CA antigua. El certificado raíz contiene una clave pública RSA de 1024 bits y su hash de firma utiliza el algoritmo hash SHA1, que está obsoleto, por lo que sin duda debe retirarse. Symantec afirma que no han utilizado esta raíz para firmar ningún certificado nuevo en "varios años". Muchos otros proveedores, como Microsoft Corporation y Apple Inc., ya han retirado este certificado raíz de los almacenes de confianza de sus respectivos sistemas operativos y navegadores.
Llegar a la raíz del problema
Entonces, ¿por qué me molesto en escribir sobre algo tan mundano como la jubilación de una AC pública? Recuerde que hace un minuto hablaba de datos, decisiones y consecuencias. ¿Recuerdas que mencioné que las decisiones de seguridad basadas en datos incompletos pueden llevar a malinterpretar y subestimar las consecuencias?
Como parte de la encuesta de supervisión de certificados deSSL , supervisamos continuamente todos los puntos finales de SSL/TLS en la Internet pública. Entre los millones de certificados activos en Internet, ¿está dispuesto a apostar que Symantec conoce todos y cada uno de los que se encadenan a sus raíces públicas? Teniendo en cuenta sus errores del año pasado en relación con los certificados "falsos" y "fraudulentos" emitidos desde sus raíces públicas, ¿confía en que sepan qué certificados han emitido?
¿Raíz heredada o no?
A partir del1 de diciembre, cuando se ejecutó la eliminación en los productos de Google, nuestra investigación indica que todavía había 21.848 puntos finales de SSL/TLS en Internet que servían certificados encadenados a esta raíz "heredada". La inspección manual de algunos de los puntos finales afectados nos llevó a servidores web de bancos de inversión, preparadores de impuestos en línea, dispositivos VPN y sitios de comercio electrónico. Los datos cuestionan la afirmación de Symantec de que no han utilizado esta raíz para generar nuevos certificados en "varios años".
A pesar del sombrío panorama que he pintado anteriormente, puedo decir que en los días transcurridos desde que descubrimos estos certificados, Symantec parece ser fiel a su palabra de hacer las cosas bien para los clientes afectados. A todos los puntos finales que fueron inspeccionados manualmente se les han asignado nuevos certificados. Estos nuevos certificados se encadenan a raíces G3 alternativas o a raíces G5 más nuevas y seguras en Verisign.
El funcionamiento de una CA raíz pública en Internet requiere que el operador ofrezca garantías de que se puede confiar en él. En la historia reciente, Symantec y sus diversas filiales han cometido errores: han perdido el rastro de los certificados emitidos, han emitido certificados "falsos" o "de prueba" desde una raíz pública y han dejado obsoleta una raíz, dejando a los clientes con certificados de entidad final que ya no son de confianza. ¿Le parecen estas las acciones de una organización que usted querría como líder que proporciona identidades de confianza en Internet?
Búsqueda mundial de certificados de Internet
Consulte el sitio web de CSS para obtener datos sobre el panorama actual de Internet de SSL/TLS, así como un formulario para solicitar su propio informe personalizado sobre los certificados digitales que hemos observado supervisando el uso de SSL/TLS en Internet: https://www.css-security.com/research/
Para más información sobre la Encuesta de Seguimiento de Certificados y los esfuerzos de CSS Research, póngase en contacto con nosotros en [email protected].