ElevenPaths crea un addon para hacer Firefox compatible con Certificate Transparency

lunes, 27 de marzo de 2017

Certificate Transparency será obligatorio en Chrome para los nuevos certificados a finales de 2017. Esto significa que se mostrará una alerta en las páginas protegidas por certificados que no estén presentes en los logs que Chrome comprueba para esa fecha. Ningún otro navegador soporta Certificate Transparency todavía. Hasta ahora... Mozilla está en ello para hacerlo funcionar en Firefox pero no existe fecha oficial para publicarlo aún. En ElevenPaths, nos adelantamos a este acontecimiento y creamos el addon que permite la verificación de los certificados incrustados.

Comprobación de los SCT incrustados en el certificado de nuestra página

Certificate Transparency es una nueva capa de seguridad sobre el ecosistema TLS. Auspiciado por Google, básicamente hace que todos los certificados emitidos sean introducidos en unos servidores especiales llamados logs, para que en el caso de que un atacante cree un certificado falso, se enfrente a un dilema: si el certificado falso no se introduce en los logs, levantaría sospechas, pero si se registra, se detectará más rápido.

Un certificado se considera dado de alta en los logs si cuenta con un SCT (Signed Certificate Timestamp). Este SCT se le da al dueño del certificado original cuando se introduce en el log y el navegador debe verificar si es real y está al día. Esto es exactamente lo que Chrome viene realizando durante ya hace un tiempo.  
Así se ve la verificación del SCT en Chrome

Ahora Firefox puede comprobar el SCT de los certificados gracias a este plugin. Pero hay buenas y malas noticias.

Las buenas noticias

Nuestro addon, creado en colaboración con el laboratorio de Buenos Aires, funciona con la inmensa mayoría de los logs disponibles actualmente. Esto significa que no importa de qué log venga el SCT, seremos capaces de comprobarlo porque hemos introducido la clave pública y dirección de básicamente todos los logs conocidos hasta ahora:

Google 'Pilot', Google 'Aviator', DigiCert Log Server, Google 'Rocketeer', Certly.IO, Izenpe, Symantec, Venafi, WoSign, WoSign ctlog, Symantec VEGA, CNNIC CT, Wang Shengnan GDCA , Google 'Submariner', Izenpe 2nd, StartCom CT, Google 'Skydiver', Google 'Icarus' , GDCA, Google 'Daedalus', PuChuangSiDa, Venafi Gen2 CT, Symantec SIRIUS y DigiCert CT2.

Esto hace que nuestra solución sea bastante completa pero...

Las malas noticias

El SCT puede ofrecerse al usuario de tres maneras diferentes:
  • Incrustado en el certificado.
  • A través de una extensión TLS.
  • Aprovechando OCSP.
No es sencillo desde la perspectiva técnica de un plugin en Firefox llegar a la capa de TLS o OCSP y comprobar el SCT. Por eso nuestro plugin por ahora solo comprueba el SCT incrustado en los propios certificados. Aunque no resulta ideal, es el escenario mayoritario y la vía por la que se distribuyen la mayoría de los SCT. Incluiremos cualquier mejora.

Otra mala noticia es que los plugins deben ser validados por Mozilla para que sean publicados en su repositorio de addons. Una vez subido el plugin queda pendiente en una cola. Si contiene código especialmente complejo, permanecerá en la cola por más tiempo. Después de esperar por más de dos meses, hemos decidido publicarlo. La cola parece estar atascada por días y no hay esperanza de acelerar el proceso. Los revisores de Mozilla trabajan tanto como les permiten sus recursos, pero no puede llevar al día la revisión de los addons como les gustaría si quieren mantener la calidad y seguridad. Se lo agradecemos en cualquier caso. Por esta razón, y entre tanto, hemos decidido distribuir también el addon fuera del repositorio oficial. Cuando lo revisen y se publique, os lo haremos saber.

El addon está disponible desde aquí.

Para instalarlo, arrastra el fichero xpi a una ventana nueva.




O bien desde  el menú de complementos, accede a la configuración e instala complementos desde archivo.




Innovación y laboratorio
www.elevenpaths.com

No hay comentarios:

Publicar un comentario