Los peligros de los certificados digitales gratuitos

Let's Encrypt, la autoridad de certificación digital de código abierto respaldada por los incondicionales de la industria Mozilla, Cisco y Akamai, anunció el lanzamiento de su primer certificado hace dos días. Con el objetivo de facilitar la transición al protocolo TLS (Transport Layer Security), el sucesor más seguro de SSL, Let's Encrypt ofrece herramientas para automatizar la forma en que se emiten, configuran y renuevan los certificados.

Acelerar la adopción de TLS mediante la racionalización de la cadena de suministro de certificados es un objetivo valioso, pero puede tener consecuencias no deseadas, incluidas nuevas vulnerabilidades potenciales y un aumento en los problemas de administración de certificados.

Más certificados en circulación significa que los ciberdelincuentes emitirán más versiones falsificadas, lo que dificulta saber en cuáles confiar. Este ya es el caso de los delincuentes que abusan de los certificados gratuitos emitidos por CloudFlare. Los analistas de Gartner estiman que la mitad de todos los ataques a la red utilizarán SSL / TLS para 2017.

No ayuda que muchos de los sistemas de protección contra amenazas existentes no sean capaces de inspeccionar el tráfico cifrado. Las empresas tendrán más puntos ciegos al tratar de averiguar dónde se esconden los atacantes dentro del flujo de datos cifrados.

“El uso de certificados para parecer confiables y esconderse dentro del tráfico encriptado se está convirtiendo rápidamente en la opción predeterminada para los atacantes cibernéticos, lo que casi contrarresta el propósito de agregar más encriptación y tratar de crear una Internet más confiable con más certificados gratuitos”, dijo Kevin Bocek. vicepresidente de estrategia de seguridad e inteligencia de amenazas en Venafi, un proveedor de reputación de certificados empresariales.

Los certificados gratuitos y autofirmados también son problemáticos porque cualquier persona con un dominio puede obtenerlos. ISRG ha dicho en el pasado que las personas ni siquiera necesitarán crear una cuenta para obtener un certificado.

Las empresas no deben reemplazar los certificados pagados existentes por certificados gratuitos; los certificados gratuitos no validan la identidad y la ubicación comercial del titular del certificado, advirtió Craig Spiezle, director ejecutivo y presidente de Online Trust Alliance. "Desde una perspectiva de fraude y protección de marca, las organizaciones tanto del sector público como del privado deberían implementar certificados SSL OV o EV", dijo Spiezle.

La disponibilidad de certificados gratuitos también exacerbará los desafíos que enfrentan las organizaciones al administrar los certificados existentes. Las grandes organizaciones, especialmente Global 5000, ya tienen que administrar miles de certificados de hasta una docena de autoridades de certificación diferentes. Si una nueva aplicación o hardware utiliza certificados gratuitos, la empresa tiene una nueva autoridad de certificación en su red. Incluso si los certificados se gestionan automáticamente, los equipos de TI aún deben administrar esta lista y rastrear quién emite qué certificado y quién tiene el control, dijo Bocek.

A pesar de tales dificultades potenciales, el movimiento para lograr que más sitios adopten TLS es positivo. Let's Encrypt planea hacer que los certificados estén disponibles en general la semana del 16 de noviembre. El proyecto planea emitir más y más certificados, comenzando con una pequeña cantidad de dominios incluidos en la lista blanca. Los propietarios de dominios pueden registrarse como probadores beta y agregar sus dominios a la lista blanca desde el sitio Let's Encrypt.

El certificado actual no tiene firma cruzada, por lo que cargar la página a través de HTTPS dará a los visitantes una advertencia que no es de confianza. La advertencia desaparece una vez que se agrega la raíz ISRG al almacén de confianza. ISRG espera que el certificado sea firmado de forma cruzada por la raíz de IdenTrusts en aproximadamente un mes, momento en el que los certificados funcionarán en casi cualquier lugar. El proyecto también envió solicitudes iniciales a los programas raíz de Mozilla, Google, Microsoft y Apple para que Firefox, Chrome, Edge y Safari reconocieran los certificados Let's Encrypt.