Vulnerabilidad en Let´s Encrypt permite secuestrar certificados
La organización detrás de Let´s Encrypt ha solucionado una vulnerabilidad que permitía a los atacantes obtener certificados de dominios que no les pertenecían.
La Autoridad Certificadora (CA), que reparte de manera gratuita certificados SSL y TLS para hacer de internet un lugar más seguro, notificó sobre este error la semana pasada a través del investigador de Detectify, Frans Rosén.
El problema fue identificado en el proceso de desafío ACME del protocolo TLS-SIN-01.
Durante este proceso, el servidor ACME valida el nombre de dominio generando un token aleatorio y comunicándoselo al cliente. El cliente genera un certificado auto firmado con un nombre de host inválido que posteriormente será configurado en el servidor web y validado por el certificado.
“El servidor ACME entonces asocia el nombre de dominio con la dirección IP, inicia la conexión TLS y envía el nombre del host con la extensión SIN (.acme.invalid),” explicó el director ejecutivo de ISRG, Josh Aas. “Si el responsable del certificado auto firmado contiene ese nombre de host, el cliente es considerado dentro del nombre de dominio, y podrá emitir certificados válidos.”
Sin embargo, Rosén notó que, en al menos dos grandes empresas de hosting, múltiples usuarios se encuentran alojados con la misma dirección y algunos tienen la capacidad de emitir certificados con nombres arbitrarios, sin que se provea la autenticación del dominio.
Estas dos propiedades violan los principios detrás de TLS-SIN y juntas podrían permitir la realización de un ataque.
Para este punto, el Grupo de Investigación de Seguridad en Internet (ISRG) deshabilitó el TLS-SIN-01 tan pronto como fueron informados de esta vulnerabilidad.
La actualización más reciente de Aas decía lo siguiente:
“Hemos decidido habilitar nuevamente el desafío TLS-SIN-01 para algunos proveedores principales quienes están seguros de no tener ningún problema mientras continuamos con la investigación y posible habilitación total de TLS-SIN-01. Estamos haciendo esto como una forma segura de restaurar el servicio lo más rápido y a la mayor cantidad de sitios posibles.”
Hari Nari, director del área de investigación criptográfica en Venafi, comentó que esos problemas suceden comúnmente por malas prácticas de seguridad de algunos proveedores de hosting.
“Let´s Encrypt ha mitigado el daño, pero eso quiere decir que los problemas se hayan eliminado completamente, para que realmente estás acciones resulten efectivas, dependerá completamente de la implementación de los certificados de seguridad por parte de los proveedores de hosting,” agregó.
“Es posible que haya una gran cantidad de certificados revocados como respuesta a este evento. La realidad es que la detección de los certificados falsos es muy difícil y la revisión del estatus de revocación es algo que en la industria no se realiza de forma adecuada, por esa razón, no se tiene una idea de qué impacto tendrá la revocación de los certificados.”
Mientras tanto, las organizaciones deberán estar atentas sobre posibles certificados realizados de forma maliciosa, aunque Google requiere un Certificado Transparente para todos los certificados, (incluyendo DV), esto permitirá identificar los certificados falsos muy pronto, concluyó.