La creación de certificados de seguridad para dominios, según los estándares de mejores prácticas, se realiza mejor cuando usted mismo opera el sitio web. De lo contrario, solo terminará violando el SSL para ese dominio en el proceso.
Esto fue lo que sucedió cuando MCS Holdings, una autoridad certificadora intermedia, emitió certificados para varios dominios de Google. El gigante de las búsquedas encontró agujeros de seguridad en el SSL porque la autoridad intermedia no ejecuta los dominios en cuestión.
Una computadora recibe un certificado del servidor de Google al contactar con el servidor. Este certificado funciona como un cifrado de los datos que se transmiten en la comunicación. Solo cuando el servidor de Google valida la clave, el contacto de su PC con el servidor de la empresa se vuelve seguro. De lo contrario, la conexión es vulnerable a un ataque man-in-the-middle. Esto sucede cuando un tercero firma un certificado para el dominio que no opera, como es el caso de MCS Holdings que emite certificados para los dominios de Google.
El papel que desempeña una autoridad certificadora intermedia en este proceso es arriesgado, porque es propenso a la intervención externa. Lo que sucedió con el SSL que Google encontró defectuoso fue que una autoridad certificadora interviniente se disfrazó como una autoridad emisora legítima, lo que significa que tenía plena autoridad para emitir un certificado. En este caso, el Centro de Información de la Red de Internet de China es la autoridad emisora genuina, y MCS Holding era falso. Google lamentó cómo es que MCS Holding adquirió esa autoridad para empezar.
Parte del problema de por qué MCS Holding obtuvo ese nivel de autoridad es la idea errónea de que una autoridad certificadora siempre tiene el hábito de otorgar certificados legítimos, sin compromisos. Solo tiene que recordar que VeriSign, una autoridad de certificación popular, ha sido pirateada en el pasado para creer que no todas las autoridades de certificación emiten buenos certificados todo el tiempo. Ese no será el caso cuando su sistema esté comprometido.
Entonces, ¿cómo lo maneja Google? La compañía ha lanzado el proyecto de transparencia de certificados, que tiene como objetivo hacer que las autoridades de certificación tengan dificultades para emitir certificados SSL que son invisibles para el operador o propietario del dominio. Google también quiere que el proyecto ayude a los propietarios de dominios o autoridades de certificación a examinar los certificados a través de un sistema abierto de auditoría y monitoreo y evitar que terceros engañen a los usuarios con certificados falsos.
Según la iniciativa, los servidores públicos realizarían un seguimiento de los registros de certificados para comprobar si hay certificados maliciosos. Luego, un programa de monitoreo criptográfico asegurará los registros y monitores para verificar el registro adecuado de certificados.
