Seguridad Informática. Certificados digitales, autenticación y confianza en Internet

• Autor: Paloma Hernández Sánchez
• Cargo: Licenciada en CC. Matemáticas. Experta en control de riesgos informáticos

I. Introducción al problema

Hasta hace poco tiempo, prácticamente todos los certificados de servidor SSL (equivalentes a documentos de identidad para los ordenadores que soportan un sitio web) emitidos por autoridades de certificación públicas (CAs) eran suministrados a las diferentes organizaciones siguiendo un proceso de autenticación del suscriptor que incluía la verificación de la existencia de la organización, el derecho de la organización a usar el nombre de dominio incluido en el certificado y la autoridad del solicitante para obtener un certificado en nombre de dicha organización. Tales certificados suministraban un nivel satisfactorio de aseguramiento, proporcionando a los usuarios (a los internautas que confían en la información que contienen cuando su icono aparece en la línea inferior de sus navegadores) tres niveles de garantía en el servicio: confidencialidad, autenticación e integridad.

[ NO INCLUYE CUADRO ]

Sin embargo, con la aparición de un nuevo modelo de negocio para la emisión de certificados SSL, algunas CAs emiten ahora certificados de servidor de más bajo nivel de aseguramiento sin autenticar al suscriptor, proporcionando por tanto solamente dos servicios de seguridad - confidencialidad e integridad. Usando la tecnología de navegador (browser) actual, es muy difícil para un usuario Internet distinguir entre certificados de servidor de alta y baja confianza. Como resultado, la confianza de los consumidores en la seguridad del comercio electrónico puede estar en peligro. Este artículo aborda este asunto y proporciona recomendaciones para atajar algunos de los problemas relacionados.

II. Resumen ejecutivo

El uso de certificados SSL de alta confianza es una piedra angular para el comercio electrónico seguro y uno de los elementos más usados en la construcción de infraestructuras de clave pública (PKI). Los certificados SSL proporcionan tres niveles de servicio - confidencialidad, autenticación e integridad. Permiten a un usuario de Internet:

- Comunicación segura con un sitio Web - la información proporcionada por el usuario de Internet no puede ser interceptada en tránsito (confidencialidad) ni alterada sin detección (integridad).

- Verificar que el usuario de Internet está visitando realmente el sitio Web de la compañía pretendida y no el sitio Web de un impostor (autenticación).

Por ejemplo, un certificado SSL que lleva el nombre de organización -XYZ Software, Inc.- pretende asegurar que el sitio Web visitado (por ej.: www.xyzsoftware.com) es realmente un sitio Web perteneciente a XYZ Software, Inc. (y no el sitio de otra entidad que quizás pretenda engañar a los internautas poco advertidos para que hagan negocios con alguien que finge ser XYZ Software, Inc.).

¿Por qué esto es importante? Un nombre de dominio o URL (como www.xyzsoftware.com) es en cierto modo como un número de teléfono. Es asignado a un cliente (organización o individuo) que paga por el periodo de tiempo que lo quiere tener registrado a su nombre.

El sistema de nombres de dominio fue diseñado para soportar flujos de información en sistemas abiertos. Aunque existen restricciones sobre ciertos tipos de dominio (por ej.: .mil está restringido a entidades militares, .es está restringido a organizaciones físicamente ubicadas en España), no existen tales restricciones sobre los tipos más comunes de dominios (incluyendo .com, .org, .net y otros). Para registrarse con estos tipos de dominio, los individuos y organizaciones sólo necesitan pagar una cuota anual. El solicitante está también obligado a proporcionar información exacta, aunque los registradores no están obligados a verificarla.

Los principales fabricantes / proveedores de navegadores o browsers, tales como Microsoft o Netscape, reconocieron la importancia de los certificados SSL e incorporaron iconos fáciles de comprender (candados y llaves) en sus navegadores para informar a los internautas cuándo una sesión SSL era invocada y, consecuentemente, que su información estaría asegurada durante el tránsito. Hasta hace poco tiempo este enfoque simple funcionó bien y facilitó la expansión del comercio online. Sin embargo, cambios posteriores en el modo de concesión en el mercado de los certificados SSL plantean un riesgo y una amenaza potencial a la confianza del consumidor en la seguridad del comercio online.

1. Autenticación del suscriptor

Al principio (segunda mitad de los años 90), prácticamente todos los certificados SSL podían ser clasificados como de confianza entre media y alta y, por tanto, proporcionaban los tres servicios de seguridad - confidencialidad, autenticación e integridad. Sin embargo, posteriormente, han surgido nuevos proveedores que han elegido suministrar certificados SSL de baja confianza (sin autenticación del suscriptor), con un coste reducido y de rápida entrega. Estos certificados SSL de baja confianza proporcionan confidencialidad e integridad pero no autenticación. Esto entra en conflicto con prácticas generalmente aceptadas en la industria y ocasiona cierta confusión en los usuarios de Internet. Mientras que en el pasado los usuarios podían confiar razonablemente en los iconos del candado o la llave, ahora deben examinar y comprender los contenidos de los certificados SSL para distinguir entre los diversos niveles de confianza.

Los estándares de la industria requieren que una compañía de servicios que expende certificados SSL, esto es, una Autoridad de Certificación (CA), mantenga controles para proporcionar una seguridad razonable sobre los siguientes aspectos relativos al registro de suscriptores:

- Los suscriptores han sido adecuadamente identificados y autenticados, labor de la que se encarga la RA, quien a su vez suele ser una entidad diferente de la CA.

- Las solicitudes de certificados de los suscriptores son veraces, autorizadas y completas.

Las prácticas específicas de una autoridad de certificación para satisfacer estos requisitos deberían ser publicadas en la política de certificados (CP) de la CA o declaración de prácticas de certificación (CPS). Los tres componentes de verificación básicos y fundamentales en el proceso de emisión de certificados a una organización para que los use en su sitio Web son:

- Confirmación de que la organización nombrada en el certificado tiene el derecho a usar el nombre de dominio identificado en el certificado.

- Confirmación de que la organización nombrada en el certificado...