Los certificados son muy "respetados" en el ambiente pero la realidad es que siguen un proceso de emisión débil y deficiente. Es decir, la cadena de certificación que depende de las Autoridades de Certificación (CA), son empresas (como cualquier otra) que buscan hacer dinero, pero que tienen problemas como cualquier otra empresa.
Recientemente, ha habido gran alboroto en los intereses comerciales de las CA con su proceso de emisión de certificados, hasta el punto de que algunos son etiquetados como "malas CA" o "CA no confiable" por no hacer bien trabajo (ver el caso de Symantec vs Google). Las empresas se están moviendo agresivamente hacia HTTPS, especialmente con la reciente introducción de los certificados Wildcard de LetsEncrypt.
Durante los últimos años ha habido muchos y diversos ataques a las CA y aunque hay iniciativas de los navegadores y las empresas para supervisar regularmente los certificados, mejorar los comportamientos del navegador para llevar conciencia al usuario y revocar certificados fraudulentos, los pentesters a menudo encontramos mucha información relacionada a los certificados y a la empresa que los emite.
Un gran proyecto gratuito (semejante a CRT.sh) para analizar certificados digitales y su historia, ya sea a través de su interface web o a través de una API de acceso público.
Fuente: CyberSins
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!