Errores basados en direccion de correo como prueba del propiedad del dominio
Numerosas entidades Autoridades de Certificacion SSL utilizan dirección de correo como prueba del propiedad del dominio y esto en sí mismo representa una vulnerabilidad en el proceso de certificación y validación de dominios.
CERT informa que varias CA (Autoridad de Certificación) SSL podrían expedir certificados a un cliente basado únicamente en el control de determinadas direcciones de correo electrónico. Entre las entidades afectadas encontramos a GeoTrust, GeoCert, GoDaddy y RapidSSL entre otras. El listado completo y la situación actual se puede encontrarse aquí.
Cuando entramos en un sitio de Internet usando un navegador, y este sitio usa el protocolo HTTPS, luego se utilizara SSL o TLS para el cifrado y la autenticación, en ese momento nuestro navegador debe verificar el certificado proporcionado por el servidor. En particular, verifica que el certificado fue emitido por una CA raíz de confianza; dicha relación de confianza se basa en que las CA raíz debería haber comprobado que una persona es quien dice ser, para emitirle el certificado solo al propietario del dominio.
Muchas entidades CA raíz utilizan el concepto de certificados SSL de "dominio autenticado" y estos certificados los emiten con una prueba mínima de propiedad del dominio, por ejemplo algunas direcciones "especiales" de email del dominio basadas en el RFC2142 que dice por ejemplo que la dirección de correo electrónico a utilizar para servicios relacionados con DNS debe ser "hostmaster", para SMTP "postmaster" y para HTTP y "webmaster" o "www".
De acuerdo a la Política de inclusión de certificados CA de Mozilla y a los requisitos del CA / Browser Forum la direcciones "admin", "administrator", "webmaster", "hostmaster" y "postmaster" son suficientes para demostrar propiedad del dominio. Adicionalmente, otras entidades raíz permiten otras direcciones de correo para servir como prueba de propiedad del dominio, algunos ejemplos son "[email protected]" seria suficiente para obtener un certificado SSL para el dominio "midominio.com".
Además, existen los Certificados de Validacion Extendida pero el navegador no muestra ninguna diferencia con otros dominios autenticados. Estos certificados pueden obtenerse solo con una dirección de email como las anteriormente mencionadas y un certificado que se obtuvo con una validación adicional. Por ejemplo, GeoCerts ofrece ambos tipos de certificados; los certificados autenticados y los totalmente autenticados, pero aún así en el navegador no notaremos ninguna diferencia entre ambos: desde el punto de vista del cliente que ingresa, ambos son certificados validos y emitidos por una CA raíz de confianza.
Un atacante, una vez que compra un certificado SSL válido para un dominio que no le pertenece, podría suplantar sitios HTTPS para hacer phishing o podría interceptar el tráfico HTTPS del sitio sin ningún tipo de advertencia para quien ingresa, porque el certificado será válido.
@adolfofioranell de la Redacción de Segu-Info
CERT informa que varias CA (Autoridad de Certificación) SSL podrían expedir certificados a un cliente basado únicamente en el control de determinadas direcciones de correo electrónico. Entre las entidades afectadas encontramos a GeoTrust, GeoCert, GoDaddy y RapidSSL entre otras. El listado completo y la situación actual se puede encontrarse aquí.
Cuando entramos en un sitio de Internet usando un navegador, y este sitio usa el protocolo HTTPS, luego se utilizara SSL o TLS para el cifrado y la autenticación, en ese momento nuestro navegador debe verificar el certificado proporcionado por el servidor. En particular, verifica que el certificado fue emitido por una CA raíz de confianza; dicha relación de confianza se basa en que las CA raíz debería haber comprobado que una persona es quien dice ser, para emitirle el certificado solo al propietario del dominio.
Muchas entidades CA raíz utilizan el concepto de certificados SSL de "dominio autenticado" y estos certificados los emiten con una prueba mínima de propiedad del dominio, por ejemplo algunas direcciones "especiales" de email del dominio basadas en el RFC2142 que dice por ejemplo que la dirección de correo electrónico a utilizar para servicios relacionados con DNS debe ser "hostmaster", para SMTP "postmaster" y para HTTP y "webmaster" o "www".
De acuerdo a la Política de inclusión de certificados CA de Mozilla y a los requisitos del CA / Browser Forum la direcciones "admin", "administrator", "webmaster", "hostmaster" y "postmaster" son suficientes para demostrar propiedad del dominio. Adicionalmente, otras entidades raíz permiten otras direcciones de correo para servir como prueba de propiedad del dominio, algunos ejemplos son "[email protected]" seria suficiente para obtener un certificado SSL para el dominio "midominio.com".
Además, existen los Certificados de Validacion Extendida pero el navegador no muestra ninguna diferencia con otros dominios autenticados. Estos certificados pueden obtenerse solo con una dirección de email como las anteriormente mencionadas y un certificado que se obtuvo con una validación adicional. Por ejemplo, GeoCerts ofrece ambos tipos de certificados; los certificados autenticados y los totalmente autenticados, pero aún así en el navegador no notaremos ninguna diferencia entre ambos: desde el punto de vista del cliente que ingresa, ambos son certificados validos y emitidos por una CA raíz de confianza.
¿Quiénes corren mayor riesgo y que podría hacer un atacante?
Los sitios que brindan a sus clientes la posibilidad de registrar un correo personalizado, corren mayor riesgo ya que si un usuario pudiera registrar una dirección y esta fuera aceptada por la CA raíz, podría comprar un certificado valido SSL para ese dominio. No es del todo claro cuales son todas las direcciones de correo aptas para realizar luego una compra de un certificado SSL, pero para tener una idea, en la política de Comodo aclaran cuales son las direcciones válidas para poder comprar un certificado a dicha empresa. De forma simila lo hacen Buyhttp y otras.Un atacante, una vez que compra un certificado SSL válido para un dominio que no le pertenece, podría suplantar sitios HTTPS para hacer phishing o podría interceptar el tráfico HTTPS del sitio sin ningún tipo de advertencia para quien ingresa, porque el certificado será válido.
¿Cómo lo soluciono?
Hasta el momento no hay una solución definitiva, pero se recomienda bloquear el acceso a cuentas confidenciales como las mencionadas que pueden ser utilizadas como prueba de propiedad del dominio.@adolfofioranell de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!