Certificate Transparency ( CT ) es un estándar de seguridad de Internet y un marco de código abierto para monitorear y auditar certificados digitales . [1] El estándar crea un sistema de registros públicos que buscan registrar eventualmente todos los certificados emitidos por autoridades certificadoras de confianza pública , permitiendo la identificación eficiente de certificados emitidos por error o maliciosamente. [2]
La transparencia del certificado se describe en un RFC 6962 experimental .
A partir de 2021, la transparencia de certificados es obligatoria para todos los certificados TLS , pero no para otros tipos de certificados. [3] [4]
Fondo
En 2011, un revendedor de la autoridad certificadora Comodo fue atacado y la autoridad certificadora DigiNotar se vio comprometida , [5] llamando la atención sobre las fallas existentes en el ecosistema de la autoridad certificadora y acelerando el trabajo sobre varios mecanismos para prevenir o monitorear la emisión de certificados no autorizados. Ben Laurie , Adam Langley y Emilia Kasper comenzaron a trabajar en un marco de código abierto para combatir estos problemas el mismo año. Presentaron el primer borrador de la norma como un Borrador de Internet IETF en 2012 con el nombre en clave "Sunlight".
Ventajas
Uno de los problemas de la gestión de certificados digitales es que los proveedores de navegadores tardan mucho en detectar, informar y revocar los certificados fraudulentos. La transparencia de certificados ayudaría al hacer imposible la emisión de un certificado para un dominio sin que el propietario del dominio lo sepa.
La transparencia de certificados no requiere comunicación de canal lateral para validar certificados, como lo hacen algunas tecnologías de la competencia, como el protocolo de estado de certificados en línea (OCSP) y la convergencia . La transparencia de certificados también funciona sin la necesidad de confiar en un tercero.
Registros de transparencia de certificados
La transparencia de certificados depende de registros verificables de transparencia de certificados. Un registro agrega nuevos certificados a un árbol de hachís de Merkle en constante crecimiento . [1] : Sección 3 Para que se considere que se comporta correctamente, un registro debe:
- Verifique que cada certificado o precertificado enviado tenga una cadena de firma válida que conduzca a un certificado de autoridad de certificación raíz de confianza.
- Rechace publicar certificados sin esta cadena de firma válida.
- Almacene toda la cadena de verificación desde el certificado recién aceptado hasta el certificado raíz.
- Presente esta cadena para auditoría a pedido.
Un registro puede aceptar certificados que aún no son completamente válidos y certificados que han caducado.
Monitores de transparencia de certificados
Los monitores actúan como clientes de los servidores de registros. Los monitores comprueban los registros para asegurarse de que se comportan correctamente. Se usa una inconsistencia para probar que un registro no se ha comportado correctamente, y las firmas en la estructura de datos del registro (el árbol Merkle) evitan que el registro niegue ese mal comportamiento.
Auditores de transparencia de certificados
Los auditores también actúan como clientes de los servidores de registros. Los auditores de transparencia de certificados utilizan información parcial sobre un registro para verificar el registro con otra información parcial que tienen. [1] : Sección 5.4
Historia
En marzo de 2013, Google lanzó su primer registro de transparencia de certificados. [6] En septiembre de 2013, DigiCert se convirtió en la primera autoridad de certificación en implementar la transparencia de certificados. [7]
En 2015, Google Chrome comenzó a exigir la transparencia de certificados para los certificados de validación extendida recientemente emitidos . [8] [9] Comenzó a exigir transparencia de certificados para todos los certificados emitidos recientemente por Symantec a partir del 1 de junio de 2016, después de que se descubrió que habían emitido 187 certificados sin el conocimiento de los propietarios del dominio. [10] [11] Desde abril de 2018, este requisito se ha ampliado a todos los certificados. [4]
El 23 de marzo de 2018, Cloudflare anunció su propio registro de CT llamado Nimbus . [12]
En marzo de 2018, se publicó el borrador de "Certificate Transparency Version 2.0", pero no se convirtió en estándar y expiró seis meses después. [13]
En mayo de 2019, la autoridad de certificación Let's Encrypt lanzó su propio registro de CT llamado Oak. Desde febrero de 2020, se incluye en las listas de registros aprobados y todas las autoridades de certificación de confianza pública pueden utilizarlo. [14]
Herramientas para inspeccionar registros de CT
- crt.sh de Sectigo
- certstream.calidog.io
- ct.cloudflare.com --- Merkle Town por Cloudflare
Referencias
- ^ a b c Laurie, Ben ; Langley, Adam; Kasper, Emilia (junio de 2013). Transparencia del certificado . IETF . doi : 10.17487 / RFC6962 . ISSN 2070-1721 . RFC 6962 .
- ^ Solomon, Ben (8 de agosto de 2019). "Introducción a la supervisión de transparencia de certificados" . Cloudflare . Archivado desde el original el 8 de agosto de 2019 . Consultado el 9 de agosto de 2019 .
Ah, certificado de transparencia (CT). CT resuelve el problema que acabo de describir haciendo que todos los certificados sean públicos y fáciles de auditar. Cuando las CA emiten certificados, deben enviarlos a al menos dos "registros públicos". Esto significa que, en conjunto, los registros contienen datos importantes sobre todos los certificados de confianza en Internet.
- ^ Llama, Ashley (3 de junio de 2015). "Transparencia del certificado: preguntas frecuentes | Blog de DigiCert" . DigiCert . Consultado el 13 de abril de 2021 .
- ^ a b O'Brien, Devon (7 de febrero de 2018). "Cumplimiento de la transparencia del certificado en Google Chrome" . Grupos de Google . Consultado el 18 de diciembre de 2019 .
- ^ Bright, Peter (30 de agosto de 2011). "Otro certificado fraudulento plantea las mismas viejas preguntas sobre las autoridades de certificación" . Ars Technica . Consultado el 10 de febrero de 2018 .
- ^ "Registros conocidos - Transparencia del certificado" . certificate-transparency.org . Consultado el 31 de diciembre de 2015 .
- ^ "DigiCert anuncia soporte de transparencia de certificados" . Lectura oscura. 2013-09-24 . Consultado el 31 de octubre de 2018 .
- ^ Woodfield, Meggie (5 de diciembre de 2014). "Se requiere transparencia de certificado para que los certificados EV muestren la barra de direcciones verde en Chrome" . Blog de DigiCert . DigiCert .
- ^ Laurie, Ben (4 de febrero de 2014). "Plan de Transparencia de Certificado actualizado + Validación Extendida" . [email protected] (lista de correo). Archivado desde el original el 30 de marzo de 2014.
- ^ "Symantec Certificate Transparency (CT) para certificados emitidos antes del 1 de junio de 2016" . Centro de conocimiento de Symantec . Symantec . 9 de junio de 2016. Archivado desde el original el 5 de octubre de 2016 . Consultado el 22 de septiembre de 2016 .
- ^ Sleevi, Ryan (28 de octubre de 2015). "Mantenimiento de la seguridad del certificado digital" . Blog de seguridad de Google .
- ^ Sullivan, Nick (23 de marzo de 2018). "Presentación de Certificado Transparencia y Nimbus" . Cloudflare . Archivado desde el original el 23 de marzo de 2018 . Consultado el 9 de agosto de 2019 .
- ^ Laurie, B. (5 de marzo de 2018). "Certificado de transparencia versión 2.0" . tools.ietf.org . Consultado el 13 de abril de 2021 .
- ^ "Presentamos Oak, un registro de transparencia de certificados abierto y gratuito: cifremos" . letsencrypt.org . Consultado el 13 de abril de 2021 .
enlaces externos
- Página web oficial
- RFC 6962 - Grupo de trabajo de ingeniería de Internet
- crt.sh , un motor de búsqueda de registros de transparencia de certificados
- Thawte CryptoReport [ enlace muerto permanente ] , registros de transparencia de certificados de búsqueda
- Symantec CryptoReport , registros de transparencia de certificados de búsqueda
- Informe de transparencia de certificados de Google
- Monitoreo de transparencia de certificados por Facebook