Gracias a los sistemas de criptografía modernos es posible cifrar nuestro tráfico prácticamente en tiempo real y comunicarnos con un servidor de forma totalmente segura y con la certeza de que se trata de un servidor legítimo. Sin embargo, algunos piratas informáticos suelen generar certificados digitales fraudulentos con el fin de suplantar la identidad de una página y engañar a los visitantes de manera que estos piensen que están en una web segura cuando, en realidad, no es así.
Para acabar con este problema, Google, junto a varias autoridades certificadoras, lleva un tiempo trabajando en un nuevo estándar conocido como «Certificate Transparency» o transparencia de certificados digitales. Con este nuevo estándar se pretende ser capaz de detectar y bloquear estas amenazas de una forma mucho más rápida y eficaz que ahora (llegando a tardar tan solo unas horas desde la generación del certificado fraudulento hasta su bloqueo), haciendo que sea casi imposible que ningún certificado pueda pasar de largo sin que las autoridades certificadoras y el dueño del dominio original (el cual se suplanta) se den cuenta.
¿Qué es la transparencia de certificados digitales?
El proyecto de transparencia de certificados busca, principalmente, permitir a las principales autoridades certificadoras (CA) (y a cualquier otra persona del mundo) monitorizar todos los certificados que se crean y auditarlos de manera que se pueda detectar el mal uso de estos y todos aquellos que hayan sido emitidos de forma incorrecta.
Para ello, se pretenden habilitar una serie de registros públicos habilitados en servidores (con menos de 1000 en todo el mundo sería suficiente) donde las autoridades certificadoras (CA) puedan enviar todos los certificados generados por ellas y donde quede constancia de que estos son genuinos. Además, cualquier usuario podrá subir sus propios certificados de manera que, aunque hayan sido generados por ellos, se sepa que son auténticos y no intenta suplantar un dominio propiedad de otra persona.
Así, en caso de que el dueño de un dominio encuentre un certificado que no ha sido generado por él, podrá marcarlo como «malicioso» y, en un tiempo muy reducido, los navegadores compatibles con este nuevo estándar lo bloquearán, mejorando así la fiabilidad y seguridad de las conexiones de los usuarios.
De esta manera, el proyecto de transparencia de certificados quiere conseguir principalmente:
- Mejorar y agilizar la detección de los certificados digitales emitidos sin autorización (certificados falsos).
- Permitir a personas y entidades controlar los certificados y comprobar si estos han sido emitidos de manera correcta para agilizar su mitigación.
- Acabar con los engaños causados por los certificados emitidos de forma fraudulenta y mejorar la supervisión de los sistemas TLS/SSL.
Como decimos, este nuevo estándar no acabará con la generación de los certificados falsos, pero sí agilizará notablemente la detección de los mismos reduciendo el daño que causan y pudiendo bloquearlos en los navegadores en un tiempo muy reducido, brindando así una navegación mucho más segura.
La transparencia de certificados digitales será obligatoria para tener la confianza de Google Chrome a finales de 2017
Google es consciente de los peligros de los certificados digitales de hoy en día y la cantidad de suplantaciones que se llevan a cabo en la red para engañar tanto a usuarios como a empresas. Por ello, la compañía cree viable, y necesario, que este nuevo estándar entre en vigor lo antes posible y poder reducir así el número de suplantaciones de identidad y de tráfico malicioso, supuestamente seguro, generado por los piratas.
El equipo de desarrollo de Chrome cree que este nuevo modelo de verificación de certificados ya ha avanzado lo suficiente como para ponerle fecha y, por lo tanto, a partir de otoño de 2017, Google Chrome exigirá a los certificados contar con este nuevo estándar de transparencia de manera que estos puedan permanecer más protegidos en la red.
¿Crees que este nuevo estándar de transparencia reducirá o acabará con el uso de los certificados digitales generados de forma fraudulenta?