Llegamos a ustedes gracias a:



Noticias

Facebook ayuda a las empresas a detectar certificados SSL falsos

Para los dominios

[22/12/2016] Facebook ha lanzado una herramienta que permite a los propietarios de los nombres de dominio descubrir certificados TLS/SSL que se publicaron sin su conocimiento.

La herramienta utiliza los datos recogidos de los muchos registros de Certificate Transparency que son públicamente accesibles. Certificate Transparency (CT) es un nuevo estándar abierto que requieren las autoridades de certificación para revelar el certificado que emiten.

Hasta hace unos cuantos años, no había forma de hacer el seguimiento de los certificados emitidos por cada una de las autoridades de certificación (CA, por sus siglas en inglés). En el mejor de los casos, los investigadores podían explorar toda la web y recoger aquellos certificados que se usan en servidores públicos. Esto hizo muy difícil descubrir los casos donde las CA emitieron certificados de nombres de dominio sin la aprobación de los dueños de esos dominios.

Ha habido muchos casos de certificados que han sido incorrectamente emitidos en el pasado debido a un error técnico o humano, o porque la infraestructura de una CA fue comprometida por hackers que luego la usaron para emitir certificados para dominios de alto perfil. Dichos certificados son válidos y pueden utilizarse en ataques de 'hombre en el medio' para interceptar el tráfico hacia sitios web protegidos por HTTPS.

No todas las CA de todo el mundo han adoptado aún CT, pero se verán obligadas a hacerlo finalmente. Por ejemplo, Google planea hacer que el cumplimiento de la CT sea obligatorio en el navegador Chrome para todos los certificados emitidos después de 01 de octubre del 2017. Esto significa que cualquier certificado emitido, pero no publicado en un registro de CT, ya no será de confianza en Chrome.

Facebook inicialmente creó su servicio de monitoreo de CT para uso interno, y el servicio ha ayudado al equipo de seguridad de la empresa a descubrir al menos dos certificados emitidos para subdominios de fb.com sin su conocimiento. La investigación reveló que los certificados fueron emitidos por una CA a petición de otro equipo dentro de Facebook que no lo notificó al equipo de seguridad.

Como muchas otras organizaciones grandes, Facebook utiliza varios sitios web para marketing y eventos especiales que son subcontratados a terceros, afirmó la empresa en una entrada de blog de abril que describe el incidente. "El monitoreo de Certificate Transparency nos permite un seguimiento de estos sitios incluso si delegamos la gestión directa a otra parte.

Ya que el servicio puede detectar un certificado mal emitido en una hora, Facebook decidió construir una herramienta pública en base a él para ayudar a otras empresas a rastrear los certificados para sus dominios de una manera similar.

La herramienta permite a los usuarios encontrar los certificados que ya existen para un nombre de dominio, así como suscribirse para recibir alertas de correo electrónico cuando aparecen nuevos certificados en los registros de la CT para el dominio.

"Si alguna vez recibe una notificación de que una CA emitió un certificado que usted no solicitó para un dominio de su propiedad, probablemente va a desear ponerse en contacto con la CA, asegurarse de que su identidad no se encuentra comprometida y considerar la revocación del certificado, afirmó Bartosz Niemczura, ingeniero del equipo Product Security de Facebook, en una entrada de blog.