Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio


master_cs:secom:tm1_v2

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
master_cs:secom:tm1_v2 [2026/05/25 21:57] thejuanvisumaster_cs:secom:tm1_v2 [2026/05/25 22:13] (actual) – [Problemas con la infraestructura PKI actual] thejuanvisu
Línea 277: Línea 277:
  
 ==== Problemas con la infraestructura PKI actual ==== ==== Problemas con la infraestructura PKI actual ====
 +  * Emisión de certificados del dueño del controlador de dominio:
 +    * Cualquier CA puede emitir un certificado para una CA sin permiso del dueño ya sea por negligencia o malicia
 +    * Hay cientos de CA, uno solo comprometido puede afectar a la seguridad.
 +  * Dificultades actualizando Trust Stores:
 +    * Muchas CA son demasiado grandes como para fallar:
 +      * Eliminar una CA tiene consdecuencias demasiado grandes para el ecosistema
 +      * Normalmente una CA no puede ser eliminada
 +    * Las CA raíz son de confianza o no
 +    * Procedimientos alternativos:
 +      * Prohibir certificados de CA a de una fecha específica
 +      * Eliminar privilegios EV.
 +  * Revocación rota
 +    * Retrasos en la propagación: La información en CRL y OCSP puede mantenerse válida hasta 10 días
 +    * Soft fail policy: Los navegadores ignoran fallos en comunicaciones CRL o OCSP. Un atacante puede suprimir dichas comunicaciones para usar certificados revocados
 +    * Browser Vendors: Por defecto no realizan revocaciones.
 +    * Una medida temporal es usar una blacklist propietaria en los navegadores.
 +  * Otras debilidades:
 +    * Weak Domain Validation: En email inseguro o usando datos WHOIS inseguros.
 +    * Certificate Warnings: Muchas apps y librerías se saltan la verificación de los certificados. Los buscadores permiten a los usuarios aceptar certificados no verificados.
 +
 +==== Mejoras de infraestructura ====
 +  * Notarías: Repositorios públicos de certificados conocidos. Puede prevenir ataques basados en CA intermediarias comprometidas. Logs de transparecnia de certificados (CT Logs)
 +  * DNS Information: DANE (DNS-Based Authentication of Named Entities) y CAA (Certification Authority Authorization)
 +  * HPKP (HTTP Public Key Pinning): Permite a los usuarios de un sitio restringir que CA pueden emitir certificados de sus sitios
 +    * Cabecera HTTP especial: Respetado por firefox,  tras varias visitas el navegador va a rechazar certificados de otras CA
 +    * Mecanismos propietarios: Google chrome tiene un mecanismo propietario para que los dueños de los witios web puedan mandar sus requisitos.
 +    * HPKP tiene un alto riesgo de inutilizar una web si no se maneja correctamente
 +    * HPKP esta obsoleto en la actualidad.
 +    * Expected-CT header es una práctica recomendada,
 +  * Transparencia de certificados (CT): Identifiación rápida de certificados frauduletos. Es un framework para las partes interesadas para verificar la emisión de los certificados.
 +    * Bajo CT, todas las CA participantes deben enviar tiodos los certificados emitidos en un log público de forma que todo el mundo puede monitorizar la emisión de certificados.
 +    * La CA obtiene una prueba digital firmada de envío al log público.
master_cs/secom/tm1_v2.1779746220.txt.gz · Última modificación: 2026/05/25 21:57 por thejuanvisu