Mitos sobre las CA
A lo largo de los años han surgido ideas erróneas sobre las CA y la infraestructura SSL. A continuación se incluye una lista de mitos comunes relacionados con SSL y las CA, publicada originalmente por el Consejo de Seguridad de Autoridades de Certificación (CASC). GlobalSign y los demás miembros del CASC se unen para aclarar las cosas y disipar los mitos del sector.
Mito: Las CA no están reguladas
Realidad: Las CA están sujetas a varios controles y equilibrios, incluyendo auditorías cualificadas de terceros a través de WebTrust o ETSI y criterios estrictos establecidos por los principales navegadores, antes de ser aceptadas en las tiendas raíz (root stores) de los navegadores. Del mismo modo, los requisitos básicos y las directrices de seguridad de la red del Foro CA/Browser establecen normas globales para la emisión de certificados y los controles de las CA que pronto se incluirán en las normas de auditoría de terceros. Los navegadores son libres de utilizar estos requisitos para excluir de la tienda raíz a las CA que no los cumplan.
Mito: Las CA no aportan valor
Realidad: Durante casi dos décadas, las CA han desempeñado un papel clave como guardianes de la confianza en línea al utilizar métodos rigurosos para validar las solicitudes de certificados de las organizaciones antes de emitir los certificados digitales. Los métodos de validación pueden incluir la verificación de la propiedad del dominio, el registro de la empresa, la autorización de los solicitantes para pedir certificados en nombre de su organización y otros documentos legales. Las CA gastan grandes cantidades de capital para asegurar sus centros de datos y operaciones internas, formar a su personal en las mejores prácticas para la validación y emisión de certificados, y hacer cumplir los controles del sector mediante pruebas periódicas de vulnerabilidad y penetración junto con auditorías anuales de terceros. Los certificados autofirmados (los que se emiten sin ninguna autenticación de la CA) permiten el cifrado hacia y desde un sitio web, pero no garantizan la identidad del mismo.
Mito: Todos los tipos de certificados emitidos por las CA son iguales
Realidad: Las CA emiten varios tipos de certificados para manejar diferentes propósitos. Entre los distintos tipos de certificados se encuentran los certificados SSL que protegen las transacciones de los sitios web, los certificados de firma de código que protegen las aplicaciones de la manipulación y el malware, los certificados S/MIME que autentican los intercambios de correo electrónico y los certificados autenticados por el cliente que se utilizan en los entornos pki de las empresas.
Las CA también ofrecen certificados SSL con diferentes tipos de validación. Dependiendo del certificado, una CA puede verificar lo siguiente:
- El registro del dominio (DV) a la entidad que solicita un certificado.
- Que la organización es una entidad legal registrada y la persona que solicita el certificado está autorizada a actuar en nombre de la organización (OV).
- Que la organización tiene un número de teléfono verificado, una dirección comercial legítima y un solicitante verificado (EV).
- Tanto los certificados EV como los OV incluyen información identificativa sobre el titular del certificado en el campo de organización del mismo.
Mito: Las CA son insulares, no responden y no están dispuestas a aceptar los cambios necesarios en el protocolo SSL
Realidad: Esta es una percepción errónea común perpetuada por aquellos que se oponen activamente a las CA y abogan por modelos alternativos. En conjunto, los miembros del CASC participan en docenas de organismos de elaboración de normas del sector, grupos educativos y organizaciones de investigación, y colaboran regularmente en la redacción de propuestas y la adopción de normas. Los miembros del CASC trabajan activamente con los navegadores, las partes que confían en la seguridad y otras partes interesadas para mejorar la seguridad de Internet a través de medidas prácticas y reflexivas y de la investigación en colaboración. Gran parte de este diálogo tiene lugar en un entorno público, como los debates del Foro CA/Browser.
Mito: El protocolo SSL no tiene arreglo y debemos encontrar un nuevo sistema que lo sustituya para autenticar las identidades en línea
Realidad: El protocolo SSL ha demostrado ser notablemente robusto, y los certificados SSL siguen siendo el sistema de criptografía más fiable y escalable del mundo. Los informes sobre incidentes de seguridad de gran repercusión se atribuyen a la falta de controles de seguridad internos adecuados a nivel de las entidades y no a un fallo en todo el sistema. Los miembros de la CASC se centran en reforzar las normas mundiales para mitigar este tipo de incidentes en el futuro. Aunque ninguna solución de seguridad es cien por cien infalible debido a la evolución de las amenazas, el mejor camino a seguir es el que se centra en introducir mejoras prácticas y escalables en el sistema actual, en lugar de intentar sustituir las CA de confianza pública con tecnologías limitadas y no probadas./p>
Mito: SSL es un sistema obsoleto con demasiadas vulnerabilidades para funcionar a largo plazo
Realidad: Tras haber constituido la columna vertebral de la seguridad en Internet durante casi las dos últimas décadas, los certificados de las CA de confianza pública siguen siendo el método más probado, fiable y escalable para proteger las transacciones en Internet. Las CA siguen trabajando en colaboración con los navegadores y otras partes para mejorar el protocolo SSL y habilitar funciones adicionales que sigan respondiendo a la evolución de las amenazas y protejan a todos los usuarios.
Mito: Hay más de 600 CA, demasiadas para manejarlas, y el SSL es un negocio de productos básicos
Realidad: Aunque pueden existir cientos de certificados intermedios en todo el mundo, la tienda raíz (root store) de Mozilla sólo cuenta con 65 titulares o certificados raíz de confianza, y más del 99% de todos los certificados SSL emitidos proceden de los certificados raíz de los siete mayores proveedores del mundo. Cada una de estas empresas líderes es auditada por WebTrust por una empresa de contabilidad acreditada y está sujeta a las normas aprobadas por el CA/Browser Forum y otros organismos. Cada CA es responsable tanto ante sus clientes como ante los operadores de la tienda raíz del navegador. Gracias al liderazgo de las CA responsables, el sector SSL siempre se ha mantenido por delante de las amenazas en evolución. Algunos ejemplos recientes de la evolución de las CA son la eliminación de los nombres de host internos, la implementación de los certificados SHA-2 y de 2048 bits y la mejora de las directrices de seguridad. La capacidad de las CA para evolucionar es lo que creará una Internet segura durante muchos años.
Mito: La revocación de certificados es innecesaria o no funciona. Sus ventajas no compensan los posibles problemas de rendimiento del navegador que provoca.
Realidad: La revocación de certificados desempeña un papel fundamental en el ecosistema SSL como herramienta principal de autenticación para determinar si un certificado es de confianza. Cada día, se envían miles de millones de solicitudes de estado de certificados a servidores de respuesta de revocación situados en todo el mundo. Estos servidores informan al navegador sobre si un certificado debe dejar de ser válido. Esto protege a los usuarios asegurando que los navegadores tienen la información más reciente sobre las amenazas y los problemas en todo el mundo. Los miembros del CASC están trabajando con los navegadores y otras partes para seguir mejorando los métodos existentes y desarrollar nuevos sistemas de revocación que equilibren eficazmente el rendimiento y la seguridad y proporcionen una experiencia de confianza a todos los usuarios de Internet.
Mito: Las CA no tienen ningún incentivo para innovar y realizar los cambios necesarios.
Realidad: Las CA son las que tienen más incentivos para introducir los cambios necesarios y colaboran para mejorar el sistema SSL. La reputación de una CA es esencial para su supervivencia. Por ello, los miembros de la CASC trabajan muy duro para hacer evolucionar el sector y mantener una postura de seguridad agresiva y eficaz con respecto a sus propios sistemas y a los de los clientes a los que sirven. Entre las normas obligatorias adoptadas recientemente se encuentran las siguientes (y otras que se están debatiendo actualmente):
- Requisitos básicos
- Directrices de seguridad de la red
- Firma de código EV y mejoras de las normas SSL EV
Este es un contenido republicado del Consejo de Seguridad de Autoridades de Certificación del que GlobalSIgn es miembro. El artículo original puede encontrarse en https://casecurity.org/myths/ (disponible en inglés)