1 puntos por GN⁺ 2024-12-01 | 1 comentarios | Compartir por WhatsApp
  • Andrew Ayeragwa14h
    • Una autoridad certificadora de Brasil, en la que Microsoft confía, emitió un certificado para google.com que probablemente no estaba autorizado. Esto podría permitir interceptar el tráfico hacia Google en Edge y otras aplicaciones de Windows, excluyendo Chrome y Firefox. Microsoft conoce bien el historial de problemas relacionados con esta autoridad certificadora, expresó preocupaciones en 2021 y también se plantearon más problemas durante la discusión pública de CCADB en 2022. Ojalá este incidente impulse cambios. Los usuarios de Windows merecen algo mejor.
  • Andrew Ayeragwa12h
    • Como ejemplo de la incompetencia de la autoridad certificadora: que el sujeto del certificado incluya el número de serie de una subsidiaria de Google no significa que haya sido autorizado por Google. La autoridad certificadora puede poner lo que quiera en ese campo, y esta en particular no valida con claridad el contenido que incluye en los certificados.
  • Andrew Ayeragwa10h
    • Los proxies corporativos de ataque de intermediario son muy dañinos.

1 comentarios

 
GN⁺ 2024-12-01
Opiniones de Hacker News
  • ICP-Brasil dejó oficialmente de emitir certificados SSL/TLS públicos en octubre: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
    No solo eludió la prohibición de emitir certificados públicos, sino que también violó las reglas CAA de Google, así que es bastante grave. Espero que esta autoridad certificadora quede bloqueada permanentemente en los OS de Microsoft

    • Revisé certlm.msc y parece que ya se distribuyó un hotfix; no veo a ICP Brasil entre las autoridades de certificación raíz de confianza
  • Lo peor es que ICP-Brasil, mencionada en el reporte del bug, es una entidad operada por el gobierno que se encarga de todo lo relacionado con firmas digitales
    Interviene incluso en la firma digital de contratos o escrituras, y en el acceso a declaraciones de impuestos

    • A diferencia de los navegadores web, los casos de uso de firmas digitales tienen que verificar la revocación, así que revocar el certificado de google.com debería resolverlo
  • Se ve muy mal. Pensé que Chrome y Firefox iban a eliminar la confianza en esta autoridad certificadora, pero resulta que ya no confiaban en ella
    Que Microsoft/Windows sí confiara en una autoridad certificadora en la que otros grandes actores no confían se ve aún peor para Microsoft

    • Microsoft tiene una reputación de seguridad muy mala, y se la ganó haciendo cosas como esta
      Tampoco parece probable que mejore pronto, y la dirección sigue siendo hacia abajo
    • No sé qué sentido tiene una autoridad certificadora web en la que no confían todos los actores principales
    • Que se haya emitido durante un feriado importante en Estados Unidos tampoco se ve bien, porque mucha gente estaba de vacaciones
    • No es solo que se vea mal; simplemente es algo malo
    • Lo gracioso es que este es apenas el problema más reciente relacionado con esta autoridad certificadora
      Antes no era confiable por defecto y había que agregarla manualmente al almacén de certificados, pero el gobierno brasileño insistía en seguir usándola en sus sitios web oficiales
  • Microsoft parece bastante laxo al confiar en autoridades certificadoras; sus decisiones de inclusión no son transparentes y su almacén de confianza es bastante grande
    Un sitio web razonable usaría solo certificados en los que confíen los navegadores, especialmente Chrome, así que el beneficio de estas autoridades certificadoras adicionales parece bajo
    No soy usuario de Windows, pero me pregunto si hay alguna forma de usar el almacén de confianza de Chrome en Windows/Edge. La lista de Microsoft se ve difícil de confiar

    • No es transparente porque funciona con base en aumentar las ventas
    • Decir que “Microsoft parece laxo al confiar en autoridades certificadoras” es una afirmación bastante atrevida. Suena como una exageración típica de HN
      No intento defender a MSFT, pero por experiencia con ventas de sistemas operativos a gobiernos, nadie está ni cerca de Microsoft. Yo tendería a pensar que MSFT evalúa con cuidado la incorporación de autoridades certificadoras
      Me pregunto si conoces DigiNotar, la autoridad certificadora aprobada por el gobierno neerlandés que sufrió un hackeo importante. Esa autoridad fue hackeada después de que su certificado raíz se agregara a la mayoría de los almacenes de confianza de navegadores y sistemas operativos, y era ampliamente confiable. Entonces, ¿se puede decir que MSFT confió “laxamente” en la autoridad certificadora raíz de DigiNotar? Creo que tampoco sería justo decir eso de Mozilla Firefox
  • Cuando veo cosas así me pregunto por qué los certificados no están firmados también por el propietario del certificado
    Hoy una autoridad certificadora puede emitir un certificado para cualquier clave pública y dominio que quiera, y una autoridad certificadora confiable maliciosa puede interceptar todo el tráfico
    Si el certificado incluyera no solo la firma de la autoridad certificadora, sino también la firma del propietario de esa clave pública, parecería que la autoridad certificadora no tendría esa capacidad. ¿Qué me estoy perdiendo?

    • La cadena de confianza de todos los certificados de ese ejemplo se establece al confiar en el certificado de una autoridad certificadora raíz maliciosa
      La autoridad certificadora, o un atacante que engañe a la autoridad certificadora mediante fraude en el mundo real, puede convertirse en el “propietario” del par de claves usado para la segunda firma
    • Lo que falta es infraestructura y procedimientos para la distribución y revocación de claves
      No se resuelve simplemente reutilizando la infraestructura PKI existente usada para las raíces de confianza de las autoridades certificadoras. Se podrían distribuir claves públicas o certificados por DNS, como DANE, pero no es algo sencillo y requeriría el acuerdo de los participantes existentes de todo el ecosistema
      https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
      Me gusta la idea general de mejorar el estado actual agregando confianza descentralizada y autogestionada encima o al lado de la PKI centralizada existente. Podría ser un paso intermedio hacia una arquitectura más sistemáticamente resiliente
    • El propósito central de una autoridad certificadora es precisamente la verificación de claves públicas
      Si el propietario del certificado ya tuviera una clave pública verificada con la cual firmar el certificado, no haría falta una autoridad certificadora
  • Me pregunto por qué Brasil logró que Microsoft confiara en su autoridad certificadora nacional. Por ejemplo, Kazajistán[1] no lo logró

    1. https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
    • Porque el gobierno de Brasil compra licencias de Windows en grandes cantidades
  • Una solución simple sería que entidades independientes proporcionen afirmaciones de confianza sobre las autoridades certificadoras, y que el usuario decida si confía considerando en conjunto los criterios de varias entidades.
    Sorprende que todavía no exista una estructura así cuando la ruta de ataque es tan clara.

    • Esto se parece más a un bug del software cliente que a un problema de WebPKI.
      Aunque se cree algún método alternativo de PKI, no estaría libre del problema de los acuerdos que haga Microsoft.
    • Un plugin de navegador que revise varios almacenes de confianza al renderizar la página parecería bastante sencillo de crear. Quizá ya exista alguno.
      El problema está entre el teclado y la silla. A los usuarios ya les cuesta entender SSL. Los navegadores consideraron que la diferencia entre EV, DV y OV era demasiado complicada y la ocultaron.
      Si la abuela abre el sitio del banco y el certificado es confiable para Google, Apple y Microsoft, pero no para Mozilla, y el plugin del navegador muestra un indicador de confianza verde amarillento, ¿cómo lo interpretaría?
      Lamentablemente, la confianza es binaria. Cuando la abuela hace clic en el marcador del banco, ve el sitio web del banco o ve una advertencia aterradora.
  • Solo viendo el texto original, no queda claro si esto fue un error o algo intencional.

    • Como el certificado quedó registrado en CT, razonablemente parecería correcto asumir que fue un error.
      Porque estaba garantizado que lo descubrirían y era obvio que generaría una controversia capaz de poner en riesgo justamente la funcionalidad que habían preparado con un costo considerable.
    • No entiendo cómo una autoridad certificadora podría emitir por error un certificado para google.com.
      ¿Existe siquiera un escenario no malicioso?
    • La respuesta es negligencia.
    • ¿Importa?
  • Es una especulación, pero suena a colusión intencional o coerción entre un gobierno y una gran empresa.
    Por ejemplo, que el gobierno de Brasil le exija a Microsoft permitir acceso para ataques de intermediario en dispositivos Windows a cambio del derecho a operar en el país.

    • Eso parece muy poco probable.
      Los gobiernos suelen llevar a cabo sus malos planes en secreto. Algo así es demasiado difícil de hacer sin que se descubra, así que no es un enfoque viable. El hecho de que estemos leyendo este artículo en HN es justamente un ejemplo de eso.
  • Ojalá alguien tuviera una lista de autoridades certificadoras estatales o vinculadas a Estados. Me gustaría eliminarlas todas.

    • El año pasado armé una lista parcial [1].
      Es difícil determinar qué autoridades certificadoras son operadas o controladas por gobiernos. No siempre queda claro por el nombre, una empresa privada también podría operar siguiendo instrucciones del gobierno, y legalmente una autoridad certificadora podría estar obligada a cumplir solicitudes gubernamentales.
      Las de esa lista eran todas organizaciones gubernamentales o militares que operan autoridades certificadoras de forma muy clara, y la autoridad certificadora brasileña mencionada aquí es la segunda de la lista.
      [1] https://alexsci.com/blog/ca-trust/#government-control-of-cas