Apple fortalece a toda la industria de CA en la vida útil de certificados de un año


lock-final-jpg.jpg

Una decisión que Apple tomó unilateralmente en febrero de 2020 ha repercutido en todo el panorama de los navegadores y ha reforzado de manera efectiva a la industria de la Autoridad de Certificación para que acepte amargamente una nueva vida útil predeterminada de 398 días para los certificados TLS.

Siguiendo Anuncio inicial de Apple, Mozilla y Google han declarado intenciones similares para implementar la misma regla en sus navegadores.

A partir del 1 de septiembre de 2020, los navegadores y dispositivos de Apple, Google y Mozilla mostrarán errores para los nuevos certificados TLS que tienen una vida útil outstanding a 398 días.

El foro CA / B y la vida útil de TLS

La medida es importante porque no solo cambia la forma en que funciona una parte central de Online, los certificados TLS, sino también porque se separa de las prácticas normales de la industria y la cooperación entre los navegadores y las CA.

Conocido como el Foro CA / B, este es un grupo informal compuesto por Autoridades de Certificación (CA), las compañías que emiten certificados TLS utilizados para soportar el tráfico HTTPS y fabricantes de navegadores.

Desde 2005, este grupo ha estado estableciendo las reglas sobre cómo se deben emitir los certificados TLS y cómo se supone que los navegadores deben administrarlos y validarlos.

Los navegadores y las AC generalmente discutieron las próximas reglas hasta que llegaron a un terreno común, y luego aprobaron las reglas que todos los miembros implementaron.

Sin embargo, a lo largo de sus 15 años de historia, ha habido un tema que siempre ha alterado las plumas cada vez que se ha mencionado, y esa es la vida útil de los certificados TLS.

La vida útil de TLS comenzó a los ocho años y, a lo largo de los años, los fabricantes de navegadores lo han reducido, reduciéndolo a cinco, luego a tres y luego a dos.

El cambio anterior se produjo en marzo de 2018, cuando los fabricantes de navegadores intentaron reducir la vida útil de los certificados SSL de tres a uno, pero se comprometieron durante dos años después de un rechazo agresivo por parte de las CA

Pero apenas pasó un año desde que redujeron la vida útil de TLS de tres a dos años, y los fabricantes de navegadores lo intentaron nuevamente, para consternación de las CA, que, en ese momento, pensaron que llegaron a un compromiso y pusieron el asunto a la cama.

Como informó ZDNet el verano pasado, los proveedores de navegadores intentaron nuevamente reducir la vida útil de los certificados TLS de dos a un año. La votación de esta propuesta, convocada por Google, falló en septiembre de 2019. Si bien la propuesta obtuvo el 100% de soporte de los fabricantes de navegadores, solo el 35% de las AC votaron para aprobar una vida útil del certificado TLS de un año.

Los proveedores de navegadores anulan el Foro CA / B

Pero en febrero, Apple rompió el procedimiento operativo estándar del Foro CA / B. En lugar de pedir una votación, Apple simplemente anunció su decisión de implementar 398 días de vida útil en sus dispositivos, independientemente de lo que pensaran las CA en el Foro CA / B sobre el tema.

Dos semanas más tarde, Mozilla anunció lo mismo, y a principios de este mes, Google también realizó un anuncio related.

Lo que ocurrió este año es, en palabras simples, una demostración de que los fabricantes de navegadores controlan el Foro CA / B, y que tienen el command whole del ecosistema HTTPS, y que las CA son meramente participantes sin poder real.

Lo que sucedió este año también fue predicho por HashedOut, un sitio de noticias amigable de CA dedicado a la industria de CA.

«Si las autoridades de certificación rechazan esta medida (la boleta electoral de septiembre de 2019), existe la posibilidad de que los navegadores puedan actuar de manera unilateral y forzar el cambio de todos modos». el sitio escribió en agosto de 2019, un mes antes de la votación.

«Eso no tiene precedentes, pero tampoco ha sucedido nunca en un tema que tradicionalmente es tan colegial como este», agregó. «Si lo hace, es justo preguntar cuál es el punto del Foro CA / B. Porque en ese punto, los navegadores básicamente se regirán por decreto y todo el ejercicio sería una farsa».

¿Por qué los proveedores de navegadores se preocuparon tanto por los certificados TLS más cortos?

Para los extraños, todo esto parece un drama tonto sobre tecnicismos y una obra de poder. Sin embargo, hay una razón por la cual los fabricantes de navegadores han estado presionando para obtener certificados TLS más cortos.

La razón principal es que los certificados TLS incorrectos se eliminan más rápidamente.

La norma es que una vez que se ha abusado de un certificado TLS por malware, phishing u otras operaciones, las CA deben revocar el certificado.

Sin embargo, en la práctica, el proceso de revocación del certificado ha sido un desastre por años, con muy pocas CA que revocan certificados a tiempo y los certificados incorrectos permanecen válidos durante años, lo que permite que los malos usen y reutilicen el mismo certificado para múltiples operaciones.

Los fabricantes de navegadores argumentaron que al reducir la vida útil del certificado TLS, estos certificados se volverían inválidos más rápido, incluso si fueron emitidos por la holgura de las CA.

Además, también está la cuestión del descifrado del tráfico. En un momento en el futuro, los fabricantes de navegadores anticipan que los actores de amenazas podrán descifrar el tráfico HTTPS que están registrando hoy.

Al asegurar el tráfico con certificados de menor duración, los fabricantes de navegadores esperan que este proceso requiera más recursos para los atacantes.

Las AC han estado luchando contra vidas más cortas porque creen que ninguno de estos problemas realmente hace la diferencia, ya que las operaciones de malware tienden a abandonar los certificados TLS después de haberlos usado una vez, especialmente ahora, ya que muchas compañías ofrecen certificados TLS gratuitos bajo diversas ofertas y programas.

Los períodos de vida más cortos solo crean más trabajo para sus equipos de TI y cambian los estándares de la industria que creen que deberían permanecer sin cambios, ya que así es como se supone que funcionan los estándares, permaneciendo igual, no actualizándose cada año.

No obstante, el problema se ha decidido, y las AC no están del todo satisfechas en cuanto a cómo se desarrolló todo el proceso. En una reunión de mayo de 2020 del Foro CA / B, algunas CA proporcionaron respuestas públicas a la decisión de Apple, y muchas no tuvieron un tono positivo.

Actalis dijo que «les guste o no» ellos «están obligados a cumplir».

D-Rely on, otra CA, dijo que también se vio obligado a cumplir con esta nueva vida útil de TLS, pero dejaron en claro que no vieron «ninguna ganancia de seguridad u otros beneficios al acortar la vida útil del certificado».

Telia describió todo el asunto como «una carga innecesaria para nuestra comunidad».

Y las respuestas continúan, en el mismo tono pasivo-agresivo de «sí, lo haremos, pero no estamos contentos con eso».

¿Qué significa esto después del 1 de septiembre de 2020?

Para las autoridades de certificación: Si desean que los certificados TLS que emiten después de esta fecha sean reconocidos en los navegadores Apple, Google y Mozilla, los certificados no deben tener una vida útil que exceda los 398 días o el certificado emitirá un error y se cortarán las conexiones.

Para propietarios de sitios website: Tendrán que renovar los certificados TLS anualmente, en lugar de dos años.

Para usuarios finales: Es posible que vean más errores HTTPS en sus navegadores.





Enlace a la noticia authentic