Certificate Transparency: El qué, el cómo y el porqué

Se acercan tiempos interesantes para el ecosistema TLS. Certificate Transparency será obligatorio en Chrome para los nuevos certificados (de cualquier tipo) emitidos a partir de octubre de 2017. Es una medida interesante y revolucionaria por varias razones. Principalmente, porque muchos administradores se preguntan a estas alturas qué es eso de Certificate Transparency y cómo les afecta, a menos de un año de que sea prácticamente obligatorio. Se ha hablado muy tibiamente del asunto porque hasta ahora no parecía encontrarse muy maduro el concepto (solo hay que darse un paseo por su lista pública de discusión para ver cuestiones que hasta hace poco se encontraban "suspendidas"). Vamos a intentar ahondar un poco.

Encontraréis varios artículos sobre Certificate Transparency, pero no demasiada información que permita entender todos sus aspectos prácticos. Certificate Transparency es un mecanismo ideado y apoyado desde Google para luchar contra el problema que más preocupa desde hace tiempo en el mundo web: el asunto de los certificados falsos o emitidos erróneamente en nombre de otro. Como ya se han dado varios casos graves de emisión de certificados fraudulentos por parte de autoridades comprometidas (o con políticas de creación "relajadas"), con Certificate Transparency se intenta atajar el problema. Se podía decir que es un método alternativo o complementario al Certificate Pinning (en todas sus variantes), a DANE, Convergence, TACK... pero con muchas más posibilidades que el resto de implantarse como estándar. En ningún momento desplaza a otras soluciones conocidas.

No se emplaza por tanto dentro del conjunto global de soluciones de Certificate Pinning (EMET, CertPatrol, HPKP…)… es algo totalmente aparte.

Contenido completo en fuente original Eleven Paths