Certificados digitales: "Gran G" vs. "Gran S"

lunes, 17 de abril de 2017

Ryan Sleevi, uno de los ingenieros y responsables de Chrome, anunció el pasado 23 de marzo que este navegador iba a restringir los certificados de validación extendida (EV) emitidos por Symantec desde la versión 59 (presumiblemente para mayo) al menos durante un año. Según la "gran G" de Mountain View, esta decisión se basa en haber descubierto que la "gran S" (también de Mountain View) "había emitido más de 30.000 certificados incorrectos".

Según Google, la violación por parte de Symantec de los requerimientos bases de las CA se ha repetido en varias ocasiones, incluso con la creación de certificados de validación extendida emitidos en septiembre de 2015 a su nombre. Symantec, que emite más del 30% de los certificados del mundo, debió realizar una auditoría en su proceso de validación de certificados e incluso reconoció haber despedido personal por este evento.





Sin embargo, por supuesto, Symantec mostró rechazo ante la acusación alegando que "Esta comunicación es inesperada y la acción propuesta es irresponsable [...] En el evento al que Google se refiere se vieron afectados 127 certificados, no 30.000". Y, en una carta a sus clientes, Symantec va más allá afirmando que "Google se basa en una serie de cuestiones técnicas absolutamente falsas y maliciosas. Sin perjuicio de que se trata de una propuesta y no de una acción concreta".

Actualmente es posible comprar certificados válidos hasta por tres años, aunque Google parece no cesar en su anuncio e incluso ya publicó un documento con las reglas matemáticas para el cálculo de cuándo un certificado dejará de ser válido: Chrome reducirá gradualmente la "antigüedad máxima" de los certificados emitidos por Symantec en versiones sucesivas de Chrome. En la versión 59 limitará la caducidad a 33 meses y en Chrome 64, la validez se limitaría a nueve meses.

Por ejemplo, si en Chrome 61 (aproximadamente julio de 2017) el campo fecha "notBefore" es mayor que "May 25, 2017" y el campo "validity period" excede los 279 días, el certificado no será válido. Esto apunta a que cada certificado EV de Symantec deberá ser re-emitido (¿gratuitamente?) antes del 30 de enero de 2018 (en 10 meses).

La disputa está planteada... Pero ¿Cómo afecta a los usuarios esta pelea de gigantes?

Un poco de historia

En 2005 se fundó CA/Browser Forum con las autoridades certificadoras (CA) y los navegadores como principales actores. El objetivo era devolver un poco de confianza a las CA y que los navegadores tuvieran más herramientas para identificar sitios reales de los fraudulentos.

Así, acababa de nacer la primera versión del estándar Extended Validation Certificate (EVSSL). Este tipo de certificados EV son más caros, pero tienen mayores controles de comprobación de identidad de la organización a la cual se emite y se muestran de una forma destacada en la barra de direcciones: generalmente figura el nombre de la organización en verde.

Los Certificados Extendidos y los OID

Para identificar un certificado EV, los navegadores utilizan un OID definido y, aunque cada CA utiliza ID diferentes, la lista parcial y no oficial de OIDs se puede encontrar en la Wikipedia y, en el código fuente de cada navegador.

Por ejemplo, para GeoTrust los EV se identifican con el OID 1.3.6.1.4.1.14370.1.6 pero, para VeriSign (Symantec) es el OID 2.16.840.1.113733.1.7.23.6.


Es decir, la certificación extendida permite identificar un dominio y asociarlo a la empresa a la que realmente pertenece, brinda mayores garantías sobre la identidad de un servidor y ayuda al usuario a reconocerlo apropiadamente.

Efecto del anuncio de Google

La "sanción" de Google consiste en que a partir de Chrome 59 "se revocarán de inmediato el estado de los certificados de Validación Extendida emitidos por Symantec [... aunque...] no hará que los sitios dejen de estar disponibles".

Esto significa que Chrome dejará de mostrar la barra verde con el nombre de la organización en los certificados EV de las CA de Symantec (incluidos Thawte, Verisign y Equifax), lo cual tendrá los siguientes efectos perjudiciales:
  • Pérdida de confianza en los certificados emitidos por la empresa.
  • Reclamos de los clientes de Symantec por haber pagado el certificado más caro que "no brindan la misma seguridad".
  • Un usuario tendrá menos garantías (cambio de la barra verde) en la forma de verificación sobre la autenticidad de un dominio.
  • Pérdida de confianza del usuario en los sitios que utilicen certificados EV "menos confiables que el resto".
  • El usuario podría acostumbrarse nuevamente a no ver claramente en la barra el nombre de la entidad, un claro retroceso al año 2005.
Sobre estos puntos y, para llevar tranquilidad a la comunidad, un directivo de Symantec ha publicado una carta donde garantiza que "se puede seguir confiando en los certificados de Symantec [...] Objetamos la propuesta pero tenemos la intención de trabajar con Google y, si se implementa, Symantec garantizará que los sitios web sigan funcionando en todos los navegadores aunque pueda requerir volver a emitir los certificados, lo cual haríamos sin coste...".

Aspectos curiosos del enfrentamiento

El 17 de marzo pasado, seis días antes del anuncio público de Google, CA/Browser Forum liberó un borrador de una nueva versión del documento "Guidelines for the Issuance And Management Of Extended Validation Certificates v.1.6.2".

Este documento describe "el conjunto de prácticas y requisitos mínimos que deben cumplir las organizaciones para emitir Certificados EV [...] y proporcionar a los usuarios una confirmación confiable de la identidad de la entidad que controla un sitio web".

Si bien esta versión todavía está en proceso de autorización, el documento fue revisado en enero y luego en marzo pasado, lo cual coincide con la fecha en que Google arrancó su investigación el 19 de enero y finaliza con la publicación de Sleevi en el foro.

Como una apreciación personal, teniendo en cuenta tanto la priorización de sus propias listas de revocación CRLSets sobre las demás CRLs reconocidas, el crecimiento de Chrome como navegador preferido, el empuje que le está brindando a su iniciativa Certificate Transparency (al que también se ha sumado Symantec) y su fuerte influencia en la CA/Browser Forum, parecen indicar que Google se separa cada vez más de las CA tradicionales y quiere imponer su propia forma de validar certificados digitales.

Sin duda, esta historia continuará...

Cristian Borghello
Innovación y laboratorio
cristian.borghello@11paths.com

No hay comentarios:

Publicar un comentario