He aquí un pequeño dato sobre ciberseguridad: el millón de sitios web 1 millón de sitios web utilizan más de 2 millones de certificados SSL . Estos certificados crean una sensación de confianza; después de todo, ¿no se siente más seguro cuando visita un sitio web con un pequeño candado en la barra de URL?
Sin embargo, el mero hecho de ver que un sitio tiene un certificado SSL no significa que se esté gestionando correctamente. Según Keyfactor Informe 2024 sobre PKI y confianza digitalde Keyfactor, el 37% de las empresas han experimentado una interrupción relacionada con un certificado. Dado que los certificados SSL se utilizan habitualmente en sitios web y otras propiedades digitales orientadas al cliente, su (mala) gestión afecta directamente a la experiencia del cliente.
Todo esto hace que la gestión de SSL sea un gran reto para las empresas y los profesionales de la seguridad.
Las interrupciones pueden deberse a varios ataques, incluido un ataque de renegociación SSL . Un ataque de renegociación SSL puede ser especialmente problemático porque aprovecha una vulnerabilidad del protocolo. Exploraremos qué es un ataque de renegociación SSL y cómo automatización de certificados desempeña un papel en su prevención.
Renegociación SSL
Para entender qué es un ataque de renegociación SSL , hablemos primero del protocolo TLS . TLS v1.0 y posteriores tienen una característica que permite renegociar una conexión durante una sesión activa. La renegociación podría tener lugar al requerir la autenticación del cliente tras la conexión inicial o al cambiar los parámetros de cifrado en mitad de la sesión.
La renegociación es una función legítima. Hay buenas razones para que una conexión necesite renegociarse. Dicho esto, la renegociación necesita salvaguardas para garantizar que los atacantes no se aprovechen de ella.
Cómo aprovechan los atacantes la renegociación
Hay dos formas de explotar la renegociación:
- Hombre en el medio (MitM)
- Denegación de servicio (DoS)
# 1 - El hombre del medio
El primer método implica un man-in-the-middle inyectando datos maliciosos en una sesión SSL durante la renegociación. Esto es lo que parece:
Alice envía un ClientHello a Bob para iniciar una conexión, pero Mallory-un atacante-puede interceptar la petición.
Mallory envía su propia solicitud ClientHello a Bob y crea una conexión segura. A continuación, Mallory inicia una solicitud de renegociación, pero cuando Bob inicia un nuevo apretón de manos, Mallory transmite texto plano malicioso, que Bob coloca en su búfer -su papelera de tareas pendientes- hasta que finaliza el proceso de apretón de manos.
A continuación, Mallory reenvía el mensaje ClientHello inicial de Alice a Bob, que establece una conexión segura. Bob procesa el mensaje de Alice, pero también procesa los mensajes enviados por Mallory durante el handshake.
# 2 - Denegación de servicio
El segundo método implica que el atacante envíe múltiples peticiones de renegociación al servidor, lo que se conoce como denegación de servicio (DoS).
Cada solicitud inicia un nuevo protocolo de enlace SSL , que agota los recursos del servidor porque todas las demás solicitudes se almacenan en un búfer hasta que se completa el protocolo de enlace. El servidor se ve desbordado e incapaz de conectarse con usuarios legítimos.
Hay una variedad de razones por las que los atacantes llevan a cabo ataques DoS. Los ciberdelincuentes organizados llevarán a cabo este tipo de ataques por una comisión. En otros casos, hacktivistas políticos atacarán servidores de organizaciones o empresas porque apoyan determinadas causas.
Cómo evitar un ataque de renegociación SSL
Hay una cosa que debes recordar: Los ataques de renegociaciónSSL no son inevitables. Una señal clara de un intento de ataque de renegociación SSL son los patrones extraños de uso de certificados, como los repetidos intentos de renegociación. Cuando un usuario intenta renegociar una sesión SSL una y otra vez, es muy probable que alguien esté intentando perpetrar un ataque de renegociación SSL . Su solución de certificados puede funcionar con otras herramientas de seguridad de su kit de herramientas para maximizar su protección. Las API y las funciones de automatización de su solución de certificados pueden integrarse con herramientas como cortafuegos, sistemas de detección de intrusiones (IDS) y soluciones de gestión de eventos e información de seguridad (SIEM).
Automatizar la renovación de certificados
La existencia de tantos certificados SSL hace imposible la gestión manual. La automatización de certificadosSSL simplifica y agiliza el proceso de renovación.
La automatización significa que los sistemas utilizan los estándares criptográficos más actualizados, por lo que no hay preocupación de que los atacantes puedan explotar las vulnerabilidades de los sistemas más antiguos. Además, la automatización de certificados facilita la identificación y revocación de un certificado comprometido.
Formas de detener los ataques de renegociación SSL
Puede tomar medidas para detener en seco los ataques de renegociación SSL , aunque hay algunas consideraciones que debe tener en cuenta.
Desactivación de la renegociación
Podrías desactivar la renegociación, lo que impediría a los hackers lanzar ataques que aprovechen esa vulnerabilidad. Dicho esto, desactivar la renegociación es una opción más drástica. Tiene más sentido habilitar la renegociación para servidores de bajo riesgo con tráfico benigno. Sin embargo, los servidores de alto riesgo requieren controles más estrictos.
Activación de solicitudes de renegociación sólo del lado del servidor
Otra forma de evitar los ataques de renegociación SSL es habilitar las solicitudes de renegociación sólo del lado del servidor. Sin embargo, los hackers pueden engañar al servidor para que inicie una solicitud por ti, así que este no es un método infalible.
Renegociación segura
Implementación de renegociación segura vincula las peticiones originales con cualquier petición de renegociación mediante un proceso criptográfico. Para que esto funcione, tanto el cliente como el servidor deben estar configurados para admitir esta función.
Configuración de límites de velocidad para intentos de renegociación
También puedes establecer un límite de velocidad para el número de intentos de renegociación permitidos. Cuando se producen demasiados intentos de renegociación, el sistema de información de seguridad y gestión de eventos (SIEM) entra en acción y activa una alerta de seguridad o finaliza automáticamente la conexión.
Gestión de certificados para evitar ataques de renegociación SSL
Mantener sus certificados organizados es uno de los métodos más importantes para detener los ataques de renegociación SSL . Existen varios métodos para hacerlo. Veremos dos de ellos: herramientasopen-source y procesos manuales, así como los pros y los contras de ambos.
Herramientas de Open-Source
Existen diversas herramientas open-source en el mercado que le ayudan a identificar los certificados SSL que caducarán pronto.
Ventajas: La ventaja de utilizar herramientas open-source es que su coste inicial es bajo o nulo.
Los contras: El uso de herramientas open-source tiene algunos inconvenientes notables.
Aunque es posible que no tenga que invertir en una herramienta open-source abierto cuando la implante por primera vez, existen otros costes a largo plazo. Tu equipo tendrá que gestionar esas herramientas y puede que no reciba asistencia técnica cuando la necesite.
Procesos manuales
Sus equipos rastrearían manualmente los certificados a punto de caducar.
Los pros: Ahorras dinero al no invertir en software.
Los contras: El dinero que te has ahorrado por no invertir en software se lo comerá el tiempo que tu equipo dedicará a esta actividad.
Además, no importa a cuántas personas encargue esta tarea, es imposible que encuentren todos los certificados que están a punto de caducar. Si se les escapa alguno, su organización podría estar en peligro.
Mejores prácticas: Una solución centralizada de gestión de certificados
Centralizar la gestión de certificados en una única plataforma automatizada resuelve los puntos débiles que presentan las demás soluciones. Esta solución utiliza menos recursos y requiere menos inversión de tiempo que las soluciones open-source o los procesos manuales.
La gestión centralizada de certificados le ofrece una visión en tiempo real de todos los certificados de la organización, incluso los no documentados. Esa visibilidad única le ahorra tiempo y esfuerzo, para que su equipo pueda dedicar más tiempo a trabajar en lo que más importa.
Además, las plataformas centralizadas pueden ayudarle a implantar la automatización de certificados. La automatización de la gestión del ciclo de vida de los certificados SSL minimiza problemas como los certificados caducados y sin documentar. También es más sencillo y rápido revocar certificados con una plataforma centralizada, para que pueda reforzar su postura de seguridad y mantener la conectividad.
Sentar las bases para la automatización de certificados con Keyfactor
Puede protegerse de los ataques de renegociación SSL asegurándose de que sus certificados SSL están actualizados. Automatizar el ciclo de vida de los certificados le permite identificar rápida y fácilmente los certificados SSL que le ponen en riesgo. Descubra cómo Keyfactor puede ayudarlevea nuestra demo ahora.
