14 abr 2016

Las CA ya NO son de confianza: Cómo funciona Certificate Transparency (CT) en la práctica (y III)

Este año Facebook encontró muchos certificados digitales duplicados para algunos de sus dominios y los revocó inmediatamente con la ayuda de su propio servicio de herramienta de monitoreo de transparencia de certificados.

Se puede saber más sobre como funciona Certificate Transparency (CT) aquí:
La privacidad en Internet depende en gran medida certificados SSL/TLS y las claves de cifrado para proteger a millones de sitios web y aplicaciones.

El actual sistema de gestión de certificados digitales y la confianza de las autoridades de certificación (CAs) ya no son suficientes para prevenir el uso indebido de certificados SSL en el Internet. Hay cientos de autoridades de certificación que tiene la capacidad para emitir certificados para cualquier dominio, a pesar del hecho que previamente ya se haya adquirido uno a otra CA. Un certificado emitido incorrectamente podría utilizarse en ataques de Man-inthe-Middle (MitM) para comprometer conexiones HTTPS cifradas.

Para resolver los problemas de confianza en las CA, Google lanzó el proyecto Certificate Transparency (CT) en el año 2013, permitiendo a cualquiera a detectar fácilmente certificados fraudulentos y/o robados.

Aquí se puede ver cómo funciona Certificate Transparency, según al documentación oficial.

Implementación de CT en Facebook

¿Cómo Facebook y otras grandes organizaciones gestionan su múltiples sitios web, subdominios, blogs, sitios institucionales, etc.?

Por lo general, estos sitios son creados y organizados por separado de la plataforma central de la empresa. Por ejemplo, el portal de Facebook https://live.fb.com/ es administrado por el servicio .

A principios de este año, Let's Encrypt emitió algunos certificados digitales duplicados y firmados para múltiples subdominios de fb.com. En este caso, el servicio de transparencia desarrollado por Facebook, tomó control inmediatamente de los certificados en menos de una hora.

Posteriormente, el equipo de seguridad de Facebook encontró que esos certificados fueron realmente solicitados por uno de sus proveedores de hosting para ser empleados para la gestión de subdominios de varios de sus micrositios. "El vendor tenía la autorización de otro equipo de Facebook para usar Let's Encrypt, pero no había sido comunicado a nuestro equipo de seguridad," explicaron David Huang y Brad Hill, ingenieros de seguridad de Facebook. De esta manera CT ayuda a Facebook a monitorear y administrar todos sus certificados y responder rápidamente a las amenazas.

Cabe señalar que este de sistema de transparencia no notifica automáticamente a los propietarios de dominio si se ha emitido un nuevo certificado (legítimo/forjado) para su dominio. Por lo tanto, los dueños del dominio son responsables de comprobar los registros regularmente. De lo contrario, si no se comprueba, comportamientos sospechosos pueden pasan desapercibidos.

Por eso, el equipo de seguridad de Facebook fue capaz de detectar inmediatamente los certificados fraudulentos, con la ayuda de una herramienta de monitoreo experimental. Esta herramienta simplemente analiza de forma continua el registro público de los certificados emitidos y alerta cuando cualquier CA emite un certificado nuevo para el dominio raíz y subdominios de facebook.com y fb.com.

"Recomendamos que otras organizaciones comiencen a controlar los registros de CT para entender la emisión de certificados para los dominios que controlan".
certificate-transparency-monitoring-service
Certificate Transparency (CT) es un marco abierto que involucra a navegadores y autoridades de certificación. El servicio de control de CT de Facebook funciona de forma independiente y no requiere de la participación adicional de otros proveedores o de CAs.
CT pretende mitigar fallas en la estructura del sistema de certificados, mediante la introducción de una capa adicional de verificación. La firma digital en sí misma ya no será suficiente, y el servidor también deberá demostrar que su certificado está registrado en CT, antes de que se comience a confiar en él.

Aunque el servicio de monitoreo de Facebook no proporciona una opción para revocar los certificados detectados, proporciona la información necesaria para hacerlo. "El proceso de revocación requiere la solicitud expresa a la entidad emisora y pedir a los navegadores agregarlos a la lista negra correspondiente", portavoz de Facebook dijo The Hacker News por correo electrónico.

Facebook dice que también es posible monitorear certificados rogue emitidos por CAs que aún no han adoptado CT: "muchos certificados son subidos por rastreadores web de terceras partes, en lugar de la CAs emisora".

Por ahora, el servicio de monitoreo de transparencia de certificado de Facebook es utilizado para los dominios de Facebook, pero confirmaron que pronto estará disponible gratis para todo el mundo.

A pesar esfuerzo de Google para que las CA comiencen a adoptar CT, su adopción todavía está en una etapa muy temprana. Actualmente, la política de certificados raíz de Google requiere que los certificados EV (Extended Validation) deban estar registrados. Esto significa que las CAs deberán registrar sus EV les guste o no. De lo contrario, sus certificados de EV no funcionarán en los navegadores modernos. Sin embargo, las CAs todavía puede emitir certificados DV (Domain Validation) sin registrarlas en CT.

Chrome está trabajando en una solución a corto plazo con una nueva característica que permita detectar dominios que están ocultos de CT. A largo plazo, los navegadores podrán requerir que todos los certificados deban estar registrados en CT.

Fuente: The Hacker News

Suscríbete a nuestro Boletín

2 comentarios:

  1. Gracias por esta serie de articulos muy informativos.

    Dejo un pequeño error: en la primera imagen las flechas de interacción entre CA y LogServer están al revés, no así sus respectivas numeraciones.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!