5 jul 2022

Implementación de la Transparencia de Certificados en Certificados SSL

Introducción

GlobalSign ahora cumple con la Política de transparencia de certificados de Google. Como tal, las páginas de pedidos ahora incluyen el aviso de CT como se muestra a continuación: 

Cronograma

Descripción General de la Transparencia de Certificado

¿Qué es Transparencia de Certificado?

La Transparencia de Certificado es un marco abierto para monitorear y auditar la emisión de certificados SSL que ayuda a proteger, a cualquier propietario de dominio, contra varios tipos de amenazas en contra de certificados, incluidos certificados emitidos erróneamente, certificados adquiridos con fines malintencionados y CA no autorizadas. La transparencia se logra al hacer que las CA publiquen certificados en registros de CT Calificados de acceso público. Los clientes pueden crear monitores de registro, que buscan certificados emitidos a sus dominios y detectan fallas en minutos.
Los registros de CT son registros de solo anexo y, aunque cualquiera puede publicar certificados en los registros, las CA los utilizarán principalmente para publicar "Precertificados". Cuando los precertificados se publican en los registros, el operador de registro devuelve una marca de tiempo (timestamp) de certificado firmado que prueba que el certificado se registró. Los navegadores pueden utilizar esta SCT para validar que el certificado se haya registrado. Los SCT se pueden distribuir al navegador en una variedad de mecanismos.
Para obtener más información sobre la Transparencia de certificados y cómo funciona, consulte la publicación en nuestro blog aquí. 
 
¿Por qué se necesita la Transparencia de Certificado?

Si bien es posible que los navegadores detecten certificados SSL falsos o falsificados, es difícil para los navegadores detectar certificados emitidos por error o certificados emitidos por una autoridad de certificación (CA) que se ha visto comprometida o se ha vuelto ilegal. El Proyecto de Transparencia de Certificado tiene como objetivo resolver este problema mediante la implementación de un marco abierto de: registros de certificados, monitores de certificados y auditores de certificados.
El proyecto CT describe los 3 objetivos principales:

• Hacer que sea imposible (o al menos muy difícil) para una CA emitir un Certificado SSL para un dominio sin que el certificado sea visible para el          propietario de ese dominio
• Proporcionar un sistema abierto de auditoría y monitoreo que permita a cualquier propietario de dominio o CA determinar si los certificados han sido emitidos por error o maliciosamente
• Para proteger a los usuarios de ser engañados por certificados emitidos por error o maliciosamente

¿Cuáles son las características de la Transparencia de Certificado?

Las siguientes características enumeradas a continuación son los beneficios que proporciona la Transparencia de Certificado:

• Detección temprana de certificados emitidos erróneamente, certificados maliciosos y CA no autorizadas. En la mayoría de los casos, el sistema de Transparencia de Certificado puede detectar certificados sospechosos o CA en unas pocas horas en lugar de unos pocos días, unas pocas semanas o unos pocos meses. 
• Mitigación más rápida después de detectar certificados sospechosos o AC. Aunque la Transparencia de Certificado se basa en los mecanismos de mitigación existentes para abordar los certificados y AC nocivos, por ejemplo, la revocación de certificados, el tiempo de detección acortado acelerará el proceso general de mitigación cuando se descubran certificados o CA nocivos.
• Mejor supervisión de todo el sistema TLS/SSL. La Transparencia de Certificado se basa en un marco abierto que admite la observación pública y la verificación de los certificados TLS/SSL recién emitidos y existentes, lo que brinda a cualquier parte interesada la oportunidad de observar y verificar el estado y la integridad del sistema TLS/SSL - propietarios del dominio, CA y usuarios por igual.
• Mayor seguridad en Internet. La Transparencia de Certificado fortalece las cadenas de confianza que se extienden desde las CA hasta los servidores individuales, lo que hace que las conexiones HTTPS sean más confiables y menos vulnerables a la intercepción o suplantación. Pero es más como medida de seguridad general, La Transparencia de Certificado ayuda a proteger contra ataques de seguridad de Internet más amplios, lo que hace que la navegación sea más segura para todos los usuarios. 

 
¿Qué pasa con los certificados que ya tengo?

Los OV SSL emitidos antes del 06 de noviembre de 2017 y los DV SSL emitidos antes del 30 de agosto de 2016 no se ven afectados y no se actualizarán ni publicarán. Sin embargo, los clientes pueden volver a emitir sus certificados si desean que cumplan con la Política CT de Google. 

GlobalSign y Transparencia de Certificado

GlobalSign admite la Transparencia de Certificado y la Política CT de Google para promover la transparencia y la apertura. Para consultas adicionales, no dude en envíar un ticket a soporte.  

Referencias

1. Proyecto de Transparencia de Certificado de Google 
2. Política de Transparencia de Certificado de Google
3. Google formaliza la Política de Transparencia de Certificado para certificados no EV