Introducing the 2024 PKI & Digital Trust Report     | Download the Report

Rusia crea su propia autoridad de certificación (CA) para emitir certificados TLS

SSL/TLS Certificados

En respuesta a la invasión de Ucrania por el Presidente Vladimir Putin, muchos gobiernos occidentales han impuesto sanciones que han prohibido a las empresas hacer negocios con Rusia.

Entre estas empresas se encuentran las autoridades de certificación (CA) públicas de terceros, que emiten certificados digitales para sitios web con el fin de validar el dominio de un sitio web y permitir una mayor confianza en las comunicaciones y transacciones en línea.

Qué significa

Antes de la invasión de Ucrania, los sitios web de muchas empresas con sede en Rusia obtenían y renovaban certificados TLS a través de autoridades de terceros como DigiCert o GoDaddy. Sin embargo, el creciente número de sanciones impuestas a Rusia significa que estos sitios web no podrán renovar los certificados; sus sitios dejarán de ser de confianza para los navegadores web. Como medida de precaución, los navegadores modernos bloquearán el acceso a esos sitios o, como mínimo, emitirán advertencias que pueden disuadir a los consumidores de visitarlos.

En respuesta, Rusia ha creado su propia CA nacional para emitir certificados TLS . Aunque en circunstancias diferentes, no se trata de una iniciativa única. Otros Estados lo han intentado, cada uno con sus propias razones, pero rara vez con el objetivo de aumentar la confianza en línea. Esta medida hace temer que el pueblo ruso sea más vulnerable a los ciberataques y al espionaje de su propio gobierno.

Por qué es importante

Está claro que el conflicto entre Rusia y Ucrania tiene repercusiones en todos los frentes y en todos los ámbitos. En Ucrania, las vidas y los medios de subsistencia de personas inocentes corren grave peligro. Tanto en Ucrania como en Rusia, las libertades están asediadas, incluidas las que existen en el panorama digital.

Aunque el conflicto ha perturbado gravemente la vida de los ciudadanos, no ha puesto freno a las necesidades de las empresas. Las empresas rusas deben seguir operando y un componente clave de ello depende de su capacidad para gestionar su sitio web de forma segura con certificados digitales, lo que pone de manifiesto la dependencia rusa del sistema de confianza que se ha establecido en Internet en los últimos 20 años.

La creación en Rusia de su propia CA estatal suscita un sinfín de preocupaciones. El primero se refiere a la libertad digital y la privacidad de los datos. En Rusia, donde cunde el temor a la ciberdelincuencia y la vigilancia represiva, las implicaciones del control sobre los ciudadanos e Internet dentro de Rusia son de gran alcance.

Con una "CA amigable con el Estado", es posible que un gobierno intercepte el intento de una persona de acceder a un sitio determinado y haga cualquier cosa, desde escuchar las comunicaciones hasta sustituir un sitio por su propia página web (falsa). A su vez, esto brinda al gobierno la oportunidad de lanzar programas espía que controlen la actividad de un usuario en un sitio web determinado.

La segunda preocupación importante es de naturaleza más operativa. Las CA confirman que un dominio pertenece a una entidad verificada, lo que significa que deben ser reconocidas por los navegadores web como fiables y legítimas. Actualmente, solo dos navegadores reconocen la nueva CA rusa como fiable: el open-source Atom y el ruso Yandex.

Bloquear a las empresas rusas la obtención de certificados de confianza pública tendrá un impacto negativo general en la seguridad de Internet y, por tanto, en las empresas de Rusia, ya que los ciudadanos no podrán hacer cosas como comprar, pagar impuestos o realizar operaciones bancarias en línea.

Panorama general

Los Estados-nación ya se han enfrentado a graves interrupciones de la cadena de suministro causadas por la pandemia de COVID-19. Y con la ruptura de los lazos con Rusia por parte de muchas economías mundiales y la paralización de la producción local en Ucrania, se espera que estas interrupciones empeoren.

Muchos líderes mundiales quieren reducir la dependencia de su país de la cadena de suministro mundial. Por ejemplo, países como Estados Unidos buscan la independencia energética, para solucionar la necesidad de importar petróleo y otras fuentes de energía extranjeras.

Este tipo de decisiones no deben tomarse a la ligera. Cuando se trata del ámbito digital, el impacto a largo plazo podría cambiar fundamentalmente Internet, que siempre ha sido una plataforma abierta y accesible. Una Internet abierta depende de la interacción entre factores técnicos, empresariales y políticos. Poner "fronteras" a la Internet global tiene graves repercusiones.

El Certification Authority Browser Forum, también conocido como CA/Browser Forum, es un organismo de colaboración entre CA y navegadores web populares como Firefox (Mozilla), Chrome (Google), Safari (Apple) y Edge (Microsoft).

En esencia, el consorcio voluntario regula la cadena de suministro de confianza que respalda la seguridad de Internet; en este caso, el Foro rige la emisión y gestión de certificados de confianza pública. Restringir a las CA miembros la emisión de certificados podría significar una Internet menos abierta.

En la actualidad, ninguna de las principales plataformas de navegación confía en la CA creada por Rusia, y el proceso para obtener la acreditación lleva meses, en caso de que el Foro CA/Browser o Rusia estuvieran interesados en emprender esta acción.

Sin embargo, a medida que surtan efecto las repercusiones a largo plazo de estas alteraciones de la cadena de suministro, los países deberán plantearse si sus organizaciones serán capaces de gestionar eficazmente las raíces de confianza antes -o cuando- desplieguen su propio servicio de CA. Hacerlo supondrá nuevos retos para las organizaciones que trabajen con las CA de esas regiones, especialmente a la hora de crear certificados digitales para autenticar la información compartida en línea.

A medida que el panorama de las CA y la confianza cambia inevitablemente, la criptografía desempeña un papel importante en cualquier servicio digital. Sin la capacidad de cifrar, y por tanto proteger, las transmisiones de datos a través de Internet, gran parte de lo que hacemos en línea sería imposible. A la luz de estos nuevos problemas, la agilidad criptográfica -la capacidad de cambiar rápida y fácilmente los procesos de cifrado, firmas y certificados- será imprescindible para las empresas que deseen operar en la era moderna.

Independientemente de cómo evolucione el panorama, la creación de la CA rusa plantea importantes cuestiones sobre el futuro de Internet, y exige que las organizaciones se replanteen su capacidad para adaptarse a estos cambios y seguir siendo criptoágiles para continuar realizando negocios de forma segura.