23,000 certificados HTTPS fueron comprometidos después de que un CEO enviara claves privadas por email

ArsTechnica
02/03/2018

Una gran pelea en un foro de discusión en Internet está despertando preocupantes preguntas sobre la seguridad de algunos certificados HTTPS confiables, cuando se reveló que el CEO de un revendedor de certificados envió por email a un socio las claves privadas sensibles para 23,000 certificados TLS.

El email fue enviado el martes por el CEO de Trustico, un revendedor de certificados TLS con sede en el Reino Unido, emitido por las autoridades certificadoras confiables Comodo y, hasta hace poco, Symantec. El correo Fue enviado a Jeremy Rowley, vicepresidente ejecutivo de DigiCert, una autoridad certificadora que adquirió el negocio de emisión de certificados de Symantec luego de que Symantec fuera descubierto infringiendo las normas de la industria, provocando que Google desconfiara de los certificados de Symantec en su navegador Chrome. En unos comunicados a principios de este mes, Trustico notificó a DigiCert que 50,000 certificados emitidos por Symantec, que Trustico había revendido, deberían ser revocados en masa por problemas de seguridad.

Sorprendentemente arrogante

Cuando Rowley solicitó pruebas de que los certificados estaban en peligro, el CEO de Trustico envió por correo electrónico las claves privadas de 23,000 certificados, según una cuenta publicada en un foro de política de seguridad de Mozilla. El informe produjo un grito de sorpresa colectivo entre muchos profesionales de seguridad que dijeron que demostraba un manejo sorprendentemente arrogante de los certificados digitales, que forman uno de los fundamentos más básicos de la seguridad del sitio web.

En general, los revendedores nunca deben almacenar las claves privadas para los certificados TLS, e incluso en los raros casos en que dicho almacenamiento sea permisible, deben estar bien protegidas. Un CEO que pudo adjuntar las claves de 23,000 certificados a un correo electrónico denota el preocupante hecho de que no se siguieron las mejores prácticas de seguridad. (No hay ninguna indicación de que el email haya sido cifrado, aunque ni Trustico ni DigiCert proporcionaron ese detalle al responder las preguntas). Otros críticos afirman que Trustico envió las claves por correo electrónico en un intento de obligar a los clientes con certificados emitidos por Symantec a pasar a certificados emitidos por Comodo. A pesar de que DigiCert se hizo cargo del negocio de emisión de certificados de Symantec, no cuenta con Trustico como revendedor.

En un comunicado, los funcionarios de Trustico dijeron que las claves se recuperaron de un "almacenamiento en frío (cold storage)", un término que generalmente se refiere a los sistemas de almacenamiento sin conexión.

"Trustico permite a los clientes generar una Solicitud de Firma de Certificado y una Clave Privada durante el proceso de pedido", se lee en el comunicado. "Estas claves privadas se almacenan en almacenamiento en frío, con el propósito de revocación".

La discusión también genera nuevas preguntas sobre el apego de Symantec a las normas de la industria durante el tiempo en que fue una autoridad certificadora confiable, que permitió a Trustico revender sus certificados. Conforme a los requisitos básicos para el foro de búsqueda de autoridad certificadora, los revendedores no pueden archivar claves privadas de certificado. El correo electrónico plantea que Trustico lo había estado haciendo precisamente cuando ofrecía aceptar solicitudes de firma de certificados en su sitio web. Como el titular del certificado raíz utilizado para firmar los certificados de TLS que Trustico estaba revendiendo, Symantec fue el responsable final de garantizar que se siguiera este requisito, aunque para ser justos, probablemente Symantec no tenía forma de detectar una infracción. Los funcionarios de Trustico también cuestionaron la seguridad de Symantec el miércoles, cuando expresaron serias dudas sobre el manejo de una cuenta que Trustico usó para revender los certificados por parte de Symantec.

"Durante nuestras muchas discusiones durante la última semana, explicamos que creemos que Symantec ha operado nuestra cuenta de una manera en la que se ha visto comprometida", escribieron los funcionarios de Trustico. "Creemos que los pedidos realizados a través de nuestra cuenta de Symantec estaban en riesgo y mal administrados. Hemos estado cuestionando a Symantec sin obtener respuesta en cuanto a los problemas durante aproximadamente un año. Symantec simplemente ignoró nuestras preocupaciones y las enterró bajo el siguiente problema que surgió ".

Los funcionarios de Symantec no respondieron a un correo que se envió en busca de sus comentarios sobre esta publicación.

La publicación del miércoles llega después de que Google y Mozilla han pasado años tratando de garantizar de mejor manera la seguridad de los certificados en los que confían sus navegadores. La transparencia de DigiCert y el cumplimiento de los requisitos básicos demuestran que muchas autoridades certificadoras y revendedores están actuando de buena fe. Desafortunadamente, debido a la forma en la que funciona el proceso de emisión de certificados TLS de Internet, un solo punto de falla es todo lo que se necesita para crear riesgos que afectan todo el sistema. Los lectores pueden esperar que Google y Mozilla dediquen un tiempo y recursos considerables en las próximas semanas para desentrañar el colapso que salió a la luz el miércoles.

Actualización: Varias horas después de que esta nota fuera publicada, el sitio web de Trustico se desconectó, luego de que un experto en seguridad web publicara una vulnerabilidad crítica en Twitter. El error, en una función del sitio web trustico.com que permitía a los clientes confirmar que los certificados se instalaron correctamente en sus sitios, aparentemente permitía a los atacantes ejecutar código malicioso en los servidores de Trustico con permisos de administrador sin restricciones.

Artículos relacionados: