Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio


master_cs:secom:tm1_v2

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión
Revisión previa
master_cs:secom:tm1_v2 [2026/05/25 21:37] thejuanvisumaster_cs:secom:tm1_v2 [2026/05/25 22:13] (actual) – [Problemas con la infraestructura PKI actual] thejuanvisu
Línea 259: Línea 259:
     * CRLs particionados: 128 archivos por CA intermediaria     * CRLs particionados: 128 archivos por CA intermediaria
     * Los buscadores usan CRLs agregados, no suelen buscar directamente.     * Los buscadores usan CRLs agregados, no suelen buscar directamente.
 +
 +{{drawio>master_cs:secom:cadena_de_certificados.png}}
 +  * Seguridad de la clave Root de la CA:  Es crítico, si se revoca, todos los certificados que dependen de esta deben ser emitidos de nuevo. Los buscadores requieren que las CA sean operadas manualmente.
 +  * Cross Certification: Una nueva raiz firmada por una vieja raiz mientras es desplegado en sistemas y navegadores
 +  * Compartimentación: Dividir la raiz entre múltiples CA subordinadas reduce riesgos. Las CA subordinadas pueden ser usadas para la emisión de certificados automatizada.
 +  * Delegación: Una organización puede querer emitir sus propios certificados. Una CA piede emitir certificados subordiandos para ello.
 +
 +=== Partes de Confianza ===
 +Se debe confiar en una serie de certificados CA raiz por sistemas operativos o desarrollador, por ejemplo:
 +  * Apple: mismas raices para IOS y MacOS. La CA debe pasar una auditoría anual.
 +  * Microsoft: Igual que apple pero para productos de microslop
 +  * Mozilla: Opera un programa de certificados raiz transparente.
 +  * Chrome: Usado en la tienda de Chrome OSm tiene restricciones adicionales:
 +    * Blacklist de raices no confiables
 +    * Whitelist de CAs que pueden emitir certificados EV
 +    * Se requiere transparencia de certificados para todos los certificados públicos.
 +
 +==== Problemas con la infraestructura PKI actual ====
 +  * Emisión de certificados del dueño del controlador de dominio:
 +    * Cualquier CA puede emitir un certificado para una CA sin permiso del dueño ya sea por negligencia o malicia
 +    * Hay cientos de CA, uno solo comprometido puede afectar a la seguridad.
 +  * Dificultades actualizando Trust Stores:
 +    * Muchas CA son demasiado grandes como para fallar:
 +      * Eliminar una CA tiene consdecuencias demasiado grandes para el ecosistema
 +      * Normalmente una CA no puede ser eliminada
 +    * Las CA raíz son de confianza o no
 +    * Procedimientos alternativos:
 +      * Prohibir certificados de CA a de una fecha específica
 +      * Eliminar privilegios EV.
 +  * Revocación rota
 +    * Retrasos en la propagación: La información en CRL y OCSP puede mantenerse válida hasta 10 días
 +    * Soft fail policy: Los navegadores ignoran fallos en comunicaciones CRL o OCSP. Un atacante puede suprimir dichas comunicaciones para usar certificados revocados
 +    * Browser Vendors: Por defecto no realizan revocaciones.
 +    * Una medida temporal es usar una blacklist propietaria en los navegadores.
 +  * Otras debilidades:
 +    * Weak Domain Validation: En email inseguro o usando datos WHOIS inseguros.
 +    * Certificate Warnings: Muchas apps y librerías se saltan la verificación de los certificados. Los buscadores permiten a los usuarios aceptar certificados no verificados.
 +
 +==== Mejoras de infraestructura ====
 +  * Notarías: Repositorios públicos de certificados conocidos. Puede prevenir ataques basados en CA intermediarias comprometidas. Logs de transparecnia de certificados (CT Logs)
 +  * DNS Information: DANE (DNS-Based Authentication of Named Entities) y CAA (Certification Authority Authorization)
 +  * HPKP (HTTP Public Key Pinning): Permite a los usuarios de un sitio restringir que CA pueden emitir certificados de sus sitios
 +    * Cabecera HTTP especial: Respetado por firefox,  tras varias visitas el navegador va a rechazar certificados de otras CA
 +    * Mecanismos propietarios: Google chrome tiene un mecanismo propietario para que los dueños de los witios web puedan mandar sus requisitos.
 +    * HPKP tiene un alto riesgo de inutilizar una web si no se maneja correctamente
 +    * HPKP esta obsoleto en la actualidad.
 +    * Expected-CT header es una práctica recomendada,
 +  * Transparencia de certificados (CT): Identifiación rápida de certificados frauduletos. Es un framework para las partes interesadas para verificar la emisión de los certificados.
 +    * Bajo CT, todas las CA participantes deben enviar tiodos los certificados emitidos en un log público de forma que todo el mundo puede monitorizar la emisión de certificados.
 +    * La CA obtiene una prueba digital firmada de envío al log público.
master_cs/secom/tm1_v2.1779745072.txt.gz · Última modificación: 2026/05/25 21:37 por thejuanvisu