13 abr. 2016

Las CA ya NO son de confianza. Como identificar certificados falsos (II)

Después de leer esto, ¿Todavía confía ciegamente en las CA?

Los incidentes de DigiNotar y Comodo fueron un "despertador", terminaron con era de confiar ciegamente en las CAs que emiten certificados digitales.

Problema: ¿Cómo se puede comprobar si un certificado fue expedido por una CA u otra persona, probablemente un atacante malintencionado?

Solución: un servicio público que permite a individuos y empresas supervisar cómo y cuántos certificados se han emitido para sus dominios. Google comenzó la iniciativa CT en 2013 y es un marco abierto para registro, auditoría y monitoreo de certificados emitido por las CAs.
What is Certificate Transparency system

¿Qué es la Transparencia de Certificados (CT) y cómo funciona?

El marco incluye:
  • Certificado de registros
  • Monitores de certificado
  • Cuentas de certificado
CT requiere que las CAs declaren públicamente cada certificado digital que han generado. Este registroofrece a los usuarios una manera de ver todos los certificados digitales que se han emitido para un dominio determinado.
Cabe destacar que este modelo de transparencia no sustituye la autenticación de las CA o el proceso de verificación tradicional, aunque es una forma adicional para verificar que el certificado emitido es único y real.

El registro de certificados tiene tres cualidades importantes:
  1. Sólo APPEND: sólo se pueden añadir certificados a un registro. No pueden ser eliminados, modificados o insertados retroactivamente al registro.
  2. Criptográficamente seguro: el registro utiliza un mecanismo criptográfico conocido como Merkle Tree Hash para evitar su alteración.
  3. Públicamente auditable: cualquiera puede consultar el registro y verificar su comportamiento o verificar si un certificado ha sido legítimamente añadido.
En CT, el certificado digital contiene un Signed Certificate Timestamp (SCT), que demuestra que ha sido presentado en el registro antes de ser emitido.

Aunque CT no impide certificados falsificados, facilita el proceso de detección de certificados falsos mucho más fácil. Esta transparencia ofrece la posibilidad de identificar rápidamente certificados que han sido emitidos por error o malintencionadamente y ayuda a mitigar problemas de seguridad, como ataques MitM.

Este año, CT ayudó al equipo de seguridad de Facebook para detectar certificados duplicados para múltiples subdominios fb.com.

En el próximo post explico cómo funciona CT en Facebook para vigilar y descubrir problemas al instante y automáticamente. Facebook confirmó que pronto hará público su servicio de monitoreo de transparencia experimental de certificados digitales.

Herramienta de búsqueda de la transparencia de certificado

Mientras tanto Comodo ha lanzado una herramienta de búsqueda de certificados en CT. La aplicación muestra todos los certificados emitidos para cualquier nombre de dominio dado.

Si alguien encuentra un certificado fraudulento para un dominio, se debe informar a la CA inmediatamente.

Continua aquí: Cómo funciona Certificate Transparency (CT) en la práctica (y III)

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!