Llegamos a ustedes gracias a:



Noticias

Registro de DNS ayudará a evitar los certificados SSL no autorizados

[21/04/2017] En pocos meses, las autoridades de certificación tendrán que empezar a respetar un registro Domain Name System (DNS) especial que permite a los propietarios de dominios especificar quién puede emitir certificados SSL para sus dominios.

El registro DNS Certification Authority Authorization (CAA) se convirtió en un estándar en el 2013, pero no tuvo mucho impacto en el mundo real porque las autoridades de certificación (CA, por sus siglas en inglés) no tenían ninguna obligación de cumplir con él.

El registro permite que un propietario de un dominio haga una lista de las CA que estén autorizadas a emitir certificados SSL/TLS para ese dominio. La razón de esto es limitar los casos de emisión de certificados no autorizados, los cuales pueden ser accidentales o intencionales, si una CA está comprometida o tiene un empleado deshonesto.

Según las normas existentes de la industria creadas por el CA/Browser Forum (una organización que está compuesta por los principales proveedores de navegadores y CAs), las autoridades de certificación deben validar que esas solicitudes de certificados SSL se originen en los propios propietarios del dominio o de alguien que controle los dominios.

Esta verificación de la propiedad normalmente está automatizada y consiste en pedir al propietario del dominio que cree un registro TXT DNS con un valor específico o que cargue códigos de autorización en un lugar específico en la estructura de su sitio, demostrando así su control sobre el dominio.

Sin embargo, el hackeo de un sitio web podría también dar al atacante la capacidad de pasar tales comprobaciones y solicitar un certificado válido para el dominio comprometido a cualquier autoridad de certificación. Dicho certificado podría ser utilizado más adelante para lanzar ataques de 'hombre en el medio' contra los usuarios o dirigirlos a páginas de phishing.

El objetivo detrás del registro CAA es limitar quién puede emitir certificados para un dominio. Por ejemplo, el registro CAA de Google es: google.com 86400 IN CAA 0 issue "symantec.com. Esto significa que Google específicamente autoriza a Symantec a emitir certificados para su nombre de dominio principal.

En marzo, el CA/B Forum votó para hacer que la revisión del registro CAA sea obligatoria como parte del proceso de emisión del certificado. Este requisito entrará en vigor el 8 de septiembre, y las CA que no respeten estos registros estarán violando las normas de la industria y se arriesgarían a recibir sanciones.

Además de la etiqueta "issue, el registro CAA también soporta una etiqueta denominada "iodef cuyo cumplimiento también será obligatorio para las CA. Esta etiqueta permite al propietario del dominio especificar una dirección de correo electrónico o una URL donde las CA puedan informar de las solicitudes de emisión de certificados que están en conflicto con la política CAA del dominio.

Por ejemplo, si una CA recibe una solicitud para un certificado del dominio X, pero el dominio X tiene un registro CAA que autoriza una CA diferente para emitir los certificados, la primera CA debe informar de la solicitud sospechosa a la dirección de correo electrónico o la dirección URL especificada en la propiedad iodef del CAA. Esto alertará al propietario del dominio de que alguien más podría estar tratando de obtener un certificado sin autorización.

"El CAA no es una bala de plata, sino que es otra capa en nuestra defensa, afirmó Scott Helme, investigador de seguridad y experto en implementación de HTTPS, en una entrada de blog. "No tenemos que preocuparnos por quedar atados a un proveedor porque el registro sólo se verifica en el punto de emisión, y no podría ser más fácil de configurar. Realmente no hay nada que perder.