Certificado de Transparencia y Fijación de Claves Públicas

11/11/2014 | Jindřich Zechmeister

En el artículo de hoy explicaré dos conceptos relativamente nuevos y poco conocidos, Certificate Transparency y Public Key Pinning, que están relacionados con la seguridad en el uso de certificados SSL. Ambos buscan reducir el riesgo de emisión y utilización de un certificado fraudulento en su sitio web.

Transparencia de Certificados (CT)

Transparencia de Certificados (CT) es una funcionalidad creada por Google. En resumen, se trata de la publicación de todos los certificados emitidos por una autoridad en una especie de "registro", para que sea posible verificar si realmente han sido emitidos por dicha autoridad.

Transparencia de Certificados (CT) tiene tres objetivos principales:

1. Impedir (o hacer extremadamente difícil) que una autoridad de certificación emita un certificado SSL para un dominio sin el conocimiento del propietario de dicho dominio.
2. Proporcionar un sistema de auditoría y monitoreo abierto, que permita a cualquier propietario de un dominio verificar si alguna autoridad de certificación ha emitido un certificado para su dominio (ya sea correcto o falsificado).
3. Proteger a los usuarios (tanto como sea posible) de daños causados por certificados que fueron emitidos incorrectamente o con el fin de abusar.

Principio de control mutuo en CT

El navegador verificará el estado del certificado en el registro público antes de confiar en él. Si el certificado no está listado, no se mostrará su barra verde EV en Google Chrome. El registro público accesible será monitoreado y se vigilarán posibles certificados sospechosos.

Google planea el primer uso importante de esta funcionalidad para febrero de 2015 en los ya mencionados certificados EV; más tarde planea expandir la Transparencia de Certificados a otros certificados.

Más información sobre Transparencia de Certificados la encontrarás en el artículo de Google Cómo Funciona la Transparencia de Certificados, o directamente en el sitio web temático certificate-transparency.org.

Ajuste de Clave Pública

El ajuste de clave pública aborda la mayor debilidad de PKI y el ecosistema actual, que es el hecho de que una autoridad puede emitir un certificado para cualquier dominio sin el consentimiento de su propietario.

Con el "ajuste", un propietario de un sitio web puede escoger una o más autoridades en las que confía y que pueden emitir un certificado para su dominio. Así se limita el riesgo de abuso de un dominio mediante un certificado falso de una autoridad menos confiable que puede ser abusada. Con esto, el ajuste se utiliza para defenderse de ataques MITM (Man in the Middle) y proteger de la confirmación del certificado.

Por ahora, el ajuste está disponible en el navegador Chrome (aproximadamente 500 registros), pero también se está creando un estándar abierto para el ajuste utilizando el protocolo HTTP. Por ejemplo, la Extensión de Ajuste de Clave Pública para el protocolo HTTP indica al navegador qué certificado debe asignarse a un dominio específico. Un enfoque ligeramente diferente al ajuste de clave pública es el protocolo DANE, que coloca información firmada sobre los certificados en el DNS, combinando así el principio de certificados SSL y DNSSEC.

Más detalles técnicos y ejemplos de uso del ajuste de clave pública se pueden encontrar, por ejemplo, en el artículo técnico Certificado y Ajuste de Clave Pública.

En los próximos artículos, nos familiarizaremos con otros conceptos de seguridad modernos que quizás aún no conozcas.