Conflicto entre los modelos de negocios de las Autoridades de Certificación y las políticas de los certificados de los vendedores

Se está llevando a cabo una discusión muy importante sobre “confianza en Internet”, que se ha mantenido escondida durante años y, en parte, sigue estándolo. Las intrusiones a las autoridades de certificación Comodo, Diginotar y Verisign obligaron a que se discuta y actúe sobre esto de forma abierta; esta vez, la discusión sobre la “disolución de la confianza” parece haber sido impulsada por la aclaración de las políticas de Trustwave y su relación con bugzilla, la herramienta de seguimiento de errores de Mozilla, y mozilla.dev.security.policy.

El asunto a tratar es la emisión deliberada de autoridades de certificación subordinadas desde raíces confiables para “administrar el tráfico codificado” que se usa para intervenir líneas telefónicas y telecomunicaciones MitM, de comunicaciones SSL/TLS codificadas. En otras palabras, los individuos que intentan comunicarse mediante twitter, gmail, facebook, sitios web bancarios y otros sitios con contenido privado desde sus navegadores podrían exponerse a que se intervengan sus comunicaciones sin que se den cuenta – hasta sus navegadores y aplicaciones pueden ser afectadas. Se ha desarrollado todo un mercado que está activo de aparatos y dispositivos para intervenir estas comunicaciones. En algunas situaciones legales, esto puede considerarse legítimo, así como con ciertas soluciones DLP conocidas dentro de las compañías. Pero aun así, existen otras opciones para que las empresas implementen DLP. ¿Cuál es el sentido de tener autoridades de certificación si se puede perder su confianza con tanta facilidad? Y la emisión arbitraria de estos certificados sin la debida supervisión o auditoría tomando en cuenta las políticas de los navegadores (y otros programas implementados en muchos servidores y ordenadores, como NSS) es parte integral del problema. ¿Deberían los navegadores, sistemas operativos y programas de servidores seguir confiando en estas autoridades de certificación cuando sus actividades entran en conflicto con los reglamentos para autoridades de certificación de los programas?

El investigador y defensor de la privacidad Christopher Soghoian no tardó en opinar al respecto y mencionó el único poder que los vendedores de navegadores pueden ejercer:

“El detalle más importante en el que hay que concentrarse es (por el comentario 12 de Brian Trzupek arriba) que Trustwave sabía que el certificado que estaba emitiendo se usaría para validar sitios web que no eran propiedad de clientes corporativos de Trustwave.

Esto significa que Trustwave vendió un certificado sabiendo que se utilizaría para realizar ataques de “hombre-en-medio” e interceptar tráfico HTTPS.

Esto es muy diferente al argumento común que se usa para justificar los certificados ’legítimos’ intermedios: el cliente corporativo quiere generar muchas certificaciones para sus servidores internos.
Trustwave se ha dado cuenta de que esta no es una buena apuesta para sus negocios, pero el daño ya está hecho.

El poder de las certificaciones de raíz trae una gran responsabilidad. Trustwave ha abusado de este poder y confianza, y el único castigo apropiado es la muerte (de su certificado raíz)”.

Pero otros investigadores, como Marsh Ray, argumentan que la revelación voluntaria y el cambio de políticas deberían tomarse en cuenta cuando Mozilla decida si revocará o no los certificados de Trustwave. Sugieren que hasta una revocación por fases podría silenciar a las siguientes autoridades de certificación que tengan un anuncio similar.
“En lo personal, creo que se debe reconocer a Trustwave por ser el primer CA que da la cara y admite el problema, y deja de expedir sub-certificados de autentificación a empresas externas sin restricciones.
Cuando leí la política de Mozilla y los requerimientos base de CA/Bm vi muchos huecos que alguien puede aprovechar para decir que algunas de las situaciones de los certificados MitM no estaban prohibidas en el acuerdo. De hecho, Geotrust estaba anunciando en su sitio web de forma abierta su producto ’Georoot’ hasta hace poco.

Parece que quienes piden que se elimine Trustwave de la lista creen que Trustwave estuvo actuando solo. Yo no lo creo, y creo que sería un error seguir amenazando a Trustwave y desanimando a las otras autoridades de certificación que necesiten dar la cara”.

La Fundación Mozilla está tomando estas declaraciones y el problema en general de forma muy abierta y con seriedad. Kathleen Wilson publicó: “Si hay otros CAs con raíz incluidos en NSS que tienen este tipo de sub-certificado de autentificación, ellos mismos deberían revocar los sub CAs y destruir los HSMs cuanto antes. A pesar de todo, los cimientos de confianza de las autoridades de certificación se han estado debilitando durante años. Parece que los modelos de negocios y ganancias han salido de esta área gris y han caído hasta el fondo. Spiderlabs debería ser reconocida por haber hecho la revelación, pero el descuido al expedir los certificados que permiten el abuso constante debería manejarse de otra forma. En el caso de Comodo, la compañía advirtió sobre el problema, no retrasó ni jugó con la revelación del problema e intentó mejorar la situación, y después publicó certificaciones para un cuarto de Internet. ¿Eran demasiado grandes para caer o manejaron la situación como debían? Tal vez un poco de ambos. En el caso de Diginotar, publicaron muy pocas certificaciones, jugaron con el tema de la revelación y muchas veces no cooperaron como debían. Ya no están publicando certificaciones.

Mientras tanto, el debate continuo de Mozilla sobre cómo reaccionar ante la publicación de Trustwave deja mucho que pensar. Sabiendo que este tipo de publicaciones era “práctica común” se debería pensar dos veces antes de tomar una decisión. Se supone que las autoridades de certificación deben revelar esta actividad primero a las empresas de software, o sus audiciones deberían cambiar esta situación, lo que no ha pasado en la última década en la que algunos participaron en los negocios. ¿Tenemos otra pesadilla de auditorías “Enron/Arthur Anderson” con las autoridades de certificación? Ten en cuenta que Diginotar pasó sus audiciones con honores. ¿Se puede confiar en los auditores? O, por lo menos, ¿crees que el “https://” de tu navegador significa que tus comunicaciones están codificadas? ¿Confías en que nadie está leyendo lo que escribes porque la implementación del “PKI“ está garantizada para evitar que las autoridades de certificación ganen dinero del abuso? O, al menos, ¿garantizan que no ganarán dinero con los modelos de negocios en conflicto directo con el navegador y el vendedor del programa a quien le están entregando los certificados y su confianza? Piénsalo dos veces.