Empecemos desde el punto de partida. Certificate Transparency (CT) es un marco abierto para facilitar el seguimiento y la emisión de certificados SSL/TLS. Cuando se concibió el concepto, su objetivo principal era prevenir la apropiación y el uso indebido de los certificados. También proporciona una manera para que los propietarios de dominios supervisen y auditen los certificados emitidos para sus dominios. Certificate Transparency logra esto mediante el uso de registros de acceso público llamados Registros de Certificate Transparency (CT). Los servidores de registro se mantienen para que sean altamente disponibles y resistentes, a menudo construidos con redundancias geográficas para garantizar el tiempo de actividad y la confiabilidad.
En el pasado, hubo casos en los que se crearon erróneamente certificados para ataques de intermediario. Estos certificados se crearon haciéndose pasar por la parte solicitante y engañando a una autoridad certificadora; por ejemplo, con adquisición de subdominio o con ataques más elaborados como hackear una autoridad certificadora. Estos hilos se pueden mitigar con una CAA, así como monitorear la emisión de certificados con registros de transparencia de certificados.
Public Chronicle: Cuando se crea un certificado, es como hacer una entrada en este diario comunitario masivo, protegido criptográficamente, disponible para que todos lo vean, pero inmutable.
Sello de autenticación: Después de la entrada, el registro otorga una verificación, conocida como marca de tiempo del certificado firmado (SCT). Este SCT actúa como un sello que confirma la inclusión y el seguimiento consistente del certificado.
Para todos los ojos: Los registros de CT son de dominio público. Desde los gigantes tecnológicos hasta los internautas individuales, todos pueden acceder y examinar estos registros, garantizando la rendición de cuentas.
Servidores de registro: Los custodios de nuestro cuaderno comunitario. Mantienen los registros de CT y garantizan que cada certificado obtenga el reconocimiento adecuado.
Monitores: Los observadores vigilantes. Su función es supervisar continuamente los registros, asegurándose de que no se introduzcan certificados dudosos.
Auditores: Piense en ellos como expertos en control de calidad. Su tarea es evaluar periódicamente los registros, asegurando su integridad y autenticidad.
Como ocurre con muchas herramientas de seguridad, el origen de los registros de transparencia de los certificados se remonta a un ciberataque. El ataque al que se le puede atribuir la creación de registros CT es el ataque de 2011 a DigiNotar donde los atacantes Hackeó una autoridad certificadora de confianza pública y creó certificados SSL haciéndose pasar por Google; estos certificados luego se utilizaron para ataques de intermediario contra usuarios de Google.
Después de que Google respondió a este ataque, se dieron cuenta de una brecha en la seguridad cibernética que ofrecen los certificados SSL. La confianza ciega otorgada a las autoridades de certificación en el programa de almacenamiento raíz confiable no consideró lo que sucedería si una de esas autoridades de certificación fuera pirateada. Para solucionar esta brecha, Google creó registros de transparencia de certificados, registros públicos criptográficos seguros donde cada certificado emitido debe registrarse para que el navegador confíe en él. Ahora que todos los certificados se registran en estos registros, organizaciones como Google ahora pueden monitorear todos los certificados emitidos para sus dominios y asegurarse de que fueron creados por su organización.
El monitoreo de registros CT es vital porque asegura la transparencia en la emisión de certificados SSL/TLS, evitando que los certificados no autorizados o maliciosos pasen desapercibidos. Al supervisar continuamente estos registros, las organizaciones pueden detectar y abordar rápidamente posibles ataques de seguridad derivadas de certificados emitidos incorrectamente. Esta vigilancia activa aumenta la confianza de los usuarios, al saber que sus conexiones están autenticadas y seguras. Además, las autoridades certificadoras deben rendir cuentas, lo que ayuda a mantener la integridad de todo el ecosistema de seguridad web.
Desde su creación en 2013 y su aplicación en 2018, muchas organizaciones como el Departamento de Seguridad Nacional de los Estados Unidos Se recomienda utilizar monitores de registros de transparencia de certificados como EZMonitor para monitorear los registros de transparencia de certificados y detectar ataques antes de que sus usuarios se vean afectados. Si bien un ataque tan sofisticado puede no ser su prioridad número uno, estos monitores generalmente ofrecen otras funciones de monitoreo SSL como (consulte la lista completaaquí):
1) Notificación de caducidad del certificado SSL.
2) Dominio similar utilizado para phishing.
3) Supervisar la creación de nuevos subdominios.
4) Alerta sobre dominios que contengan su dominio. (Esto es común en campañas de phishing donde el atacante podría usar su dominio como subdominio. Por ejemplo, sudominio.com.attacker.com)
5) Certificado no válido instalado.
6) CT Logs también nos ayudó a encontrar más de 30.000 dominios vulnerables a la adquisición de dominios.
7) No coincide la CAA (autorización de la autoridad de certificación).
¡Y más!
Si desea obtener más información sobre cómo los registros de transparencia de certificados pueden ayudarlo a proteger su organización y evitar su próxima interrupción, ¡consulte EZMonitor! La arquitectura alojada le brinda visibilidad completa de todos sus certificados en un panel conveniente, lo que permite a su equipo comenzar a monitorear el estado de su SSL en minutos. Reciba alertas generadas automáticamente por: correo electrónico, integración SIEM o llamando a nuestras API. ¿Quiere hablar con uno de nuestros expertos en seguridad? Reserve una llamada GRATUITA HOY para obtener más información sobre cómo el monitoreo de certificados puede ayudar a proteger su organización.
