Expertos en seguridad de Internet han expresado su preocupación por la emisión de tres certificados TLS para 1.1.1.1, un servicio DNS ampliamente utilizado de la red de entrega de contenido Cloudflare y el registro de Internet Asia Pacific Network Information Centre (APNIC).
Los certificados, emitidos en mayo, pueden ser utilizados para descifrar consultas de búsqueda de dominios encriptadas mediante DNS sobre HTTPS, un protocolo que proporciona encriptación de extremo a extremo cuando los dispositivos de los usuarios finales buscan la dirección IP de un dominio específico. Algunos expertos en seguridad también temen que los certificados puedan respaldar otros servicios sensibles, como WARP, un servicio VPN ofrecido por Cloudflare. Los certificados seguían siendo válidos al momento de la publicación de este artículo en Ars.
Fallos clave
A pesar de que los certificados fueron emitidos hace cuatro meses, su existencia solo se hizo pública el miércoles en un mensaje en un foro de discusión en línea. Fueron emitidos por Fina RDC 2020, una autoridad de certificación subordinada al titular del certificado raíz Fina Root CA. Este último es confiable por el programa de certificados raíz de Microsoft, que regula qué certificados son confiables para el sistema operativo Windows. Microsoft Edge representa aproximadamente el 5 por ciento de los navegadores utilizados activamente en Internet.
Microsoft declaró en un comunicado que ha “contactado a la autoridad de certificación para solicitar una acción inmediata. También estamos tomando medidas para bloquear los certificados afectados a través de nuestra lista de desautorizados para ayudar a proteger a los clientes.” El comunicado no especificó cómo no se identificó el certificado mal emitido durante tanto tiempo.
Representantes de Google y Mozilla informaron que sus navegadores Chrome y Firefox nunca han confiado en los certificados, y no es necesario que los usuarios tomen ninguna acción. No se sabía de inmediato si un programa de certificados similar de Apple confía en el certificado. Tampoco se conocía de inmediato qué organización o persona solicitó y obtuvo las credenciales. Los representantes de Fina, Microsoft y Apple no respondieron de inmediato a los correos electrónicos solicitando detalles.
Los certificados son una parte clave del protocolo de capa de transporte. Contienen la clave privada utilizada para firmar digitalmente dominios y certificar que pertenecen legítimamente a la entidad que reclama su propiedad o control. La clave privada también se utiliza para descifrar el tráfico que pasa entre los usuarios finales y los sitios que están visitando.
El titular de los certificados 1.1.1.1 podría potencialmente utilizarlos en ataques de tipo adversario-en-el-medio que interceptan las comunicaciones entre los usuarios finales y el servicio DNS de Cloudflare, explicó Ryan Hurst, CEO de Peculiar Ventures y experto en TLS e infraestructura de clave pública.
“Para hacerlo, se requeriría un secuestro de BGP para engañar a tu host para que piense que tu [rogue] 1.1.1.1 era el al que debería conectarse,” explicó. BGP se refiere al Protocolo de Gateway de Frontera, una especificación utilizada para conectar redes regionales en todo el mundo, conocidas como Sistemas Autónomos. Al manipular el sistema a través de avisos falsos, los atacantes suelen tomar control de direcciones IP legítimas, incluidas las de telecomunicaciones, bancos y servicios de Internet.
A partir de ahí, los atacantes que posean los certificados 1.1.1.1 podrían descifrar, visualizar y manipular el tráfico del servicio DNS de Cloudflare, añadió Hurst. También mencionó que el servicio VPN WARP de Cloudflare podría verse afectado de manera similar.
El descubrimiento del miércoles expone fallos clave en la infraestructura de clave pública que es responsable de asegurar la confianza en toda Internet. Son lo único que asegura que gmail.com, bankofamerica.com, irs.gov y cualquier otro sitio web sensible esté controlado por la entidad que reclama la propiedad.
Dado el papel fundamental de los certificados, se requiere que las autoridades de certificación proporcionen las direcciones IP que utilizaron para verificar que una parte que solicita un certificado controla la dirección que desea cubrir. Ninguno de los tres certificados proporciona esa información. El incidente también refleja negativamente en Microsoft por no haber detectado el certificado mal emitido antes de que fuera confiado por Windows.
También son parcialmente responsables Cloudflare y los actores de PKI en general, ya que todos los certificados emitidos se publican en un registro de transparencia disponible públicamente. El propósito del registro es identificar rápidamente los certificados mal emitidos antes de que puedan ser utilizados activamente. El descubrimiento público de los certificados cuatro meses después de su emisión sugiere que los registros de transparencia no recibieron la atención que se pretendía.
Fuente original: ver aquí