Quiero comenzar esta publicación de blog con un poco de historia sobre por qué se crearon los registros de transparencia de certificados. En 2011, Google descubrió que una entidad no autorizada había creado un certificado SSL para los servicios intermediarios de Google. Más tarde se descubrió que una empresa que poseía varias CA (Autoridad de certificación) de confianza pública fue pirateada y sus CA emitieron certificados fraudulentos. Para evitar ataques similares, Google diseñó e implementó Registros de transparencia de certificados, y en 2013 lanzaron al mundo.
El problema con el hack de DigiNotar fue que Google no tenía visibilidad ni conocimiento de que ese certificado había sido emitido o utilizado (Google se enteró porque un usuario publicó en un foro que no podía iniciar sesión en Gmail a menos que usara una VPN y preguntó si alguien más estaba teniendo ese problema). Para resolver el problema de visibilidad de los certificados, Google creó registros de transparencia de certificados.
Los registros de transparencia de certificados son una lista disponible públicamente de cada certificado que se ha emitido. Estás pensando: si un hacker emite un certificado, simplemente no lo registrará y pasará desapercibido. Para imponer el uso de registros de transparencia de certificados, Google introdujo un estándar industrial que requiere que un certificado se registre en varios registros de transparencia de certificados para que un navegador lo acepte.
Si bien tener una lista criptográfica a prueba de manipulaciones de cada certificado que se ha emitido es una gran solución al problema de no tener visibilidad de los certificados que se emiten, también asigna la responsabilidad de monitorear los Registros de transparencia de certificados para certificados fraudulentos en cada empresa del mundo. Si bien podría ser un proyecto pequeño para grandes empresas como Google, es un proyecto grande para la mayoría de las empresas. Con cientos de nuevos certificados emitidos cada segundo, cada empresa tendría que implementar una infraestructura muy grande para buscar terabytes de datos y detectar cualquier certificado no autorizado para sus dominios.
En Keytos, nuestro objetivo es ayudar a las empresas a proteger su infraestructura haciendo que las soluciones PKI (infraestructura de clave pública) sean fáciles de usar. Por lo tanto, nos complace anunciar EZMonitor. Por $1 al mes, EZMonitor le permite monitorear los registros de transparencia de certificados y le avisará si se emite un nuevo certificado para su dominio. Tener la infraestructura para analizar esta enorme cantidad de datos también nos permitió crear más alertas como:
Como puedes ver, estas alertas no sólo protegerán tus dominios, sino que también te ayudarán a prevenir algunas de las interrupciones más comunes. Reserve una llamada con nuestros expertos en seguridad y proteja su organización hoy.
