El gobierno de Corea del Sur (GPKI) intenta una vez más ser incluido en el almacén de certificados raíz de Firefox
(bugzilla.mozilla.org)El certificado raíz de GPKI se usaba principalmente para emitir certificados a dominios de varios sitios web gubernamentales y públicos, incluido el TLD .go.kr. (Ojo con que está en pasado: actualmente los sitios del gobierno reciben certificados de distintos proveedores y ofrecen servicios HTTPS).
A diferencia de otros navegadores, Firefox tiene su propia lista de certificados raíz y no sigue el almacén de certificados del sistema operativo al establecer conexiones TLS. Por ejemplo, en Windows el certificado GPKI viene preinstalado, pero Firefox no lo lee. (Aunque hoy en día se puede cambiar fácilmente para que sí lo siga con una casilla en la pestaña de seguridad de la página de configuración about:config).
Una de las razones más conocidas para rechazar el registro del certificado raíz de GPKI es que en el pasado se descubrió que el gobierno había emitido certificados extremadamente amplios como *.or.kr, *.ac.kr, etc.
Sin embargo, no es que el intento de registro se bloquee solo por ese caso de emisión prácticamente ilimitada; también se ha retrasado o rechazado porque el gobierno no ha logrado cumplir a tiempo con todos los exigentes procedimientos de certificación de confianza que exige Mozilla, como los resultados de auditorías externas, el método para verificar la lista de revocación de certificados (CRL) y el método para comprobar la validez de los certificados (OCSP).
O bien, incluso cuando se hicieron a tiempo, hubo casos en que el propio resultado presentaba problemas, como cuando el certificado del Ministerio del Interior y Seguridad y el del Ministerio de Educación fueron auditados por la misma empresa.
Al buscar el tema dentro de BugZilla, como los intentos de registro han continuado durante años, un detalle curioso es ver cómo van cambiando según el año tanto el nombre del funcionario encargado de llevar el trabajo como el de la institución a la que pertenece, debido a la rotación de puestos en la administración pública y a las reorganizaciones del gobierno por cambios de administración.
7 comentarios
De todos modos, no hay planes de instalar certificados propios en sitios públicos externos.
No podemos hacernos cargo.
Pero esto, sin querer, termina aumentando muchísimo la dependencia de Chrome.
En la red interna, de todas formas, pasa lo mismo porque tampoco se verifican los certificados externos.
Dejé mi opinión personal en Bugzilla, pero parece que todavía falta mucho camino por recorrer.
En el caso de CRL/OCSP, deberían estar configurados para que varios servicios puedan verificarlos en cualquier momento,
pero hay un bug por el que desde IPs del extranjero la conexión solo se logra después de varios intentos de acceso.
Parece que el problema está en el firewall o en el WAF.
(Viendo los comentarios de otras personas, parece que con IPs nacionales pasa algo parecido también..)
Leí todo en orden, empezando por el historial anterior, y el lugar que auditó el certificado CA es el mismo que lo auditó en 2016-2017...
Si ya hubo ese tipo de problema antes, uno pensaría que habrían cambiado de empresa auditora hace tiempo, así que también resulta un poco desconcertante que la sigan manteniendo tal cual...
A pesar de varios esfuerzos, en la documentación en inglés todavía se ven muchos errores lógicos menores y typos,
y también parece necesario volver a emitir el certificado porque las normas estándar ya se actualizaron.
(Parece que actualizan el documento CPS con frecuencia, así que si pueden hacer ese nivel de actualizaciones, creo que también podrían volver a generar el certificado.)
Seguramente los funcionarios encargados también la están pasando difícil,
pero como ya cometieron un error en el pasado, creo que es inevitable que reciban críticas.
Dicen que realizan una auditoría cada año conforme a la normativa, pero el sitio de certificación WebTrust parece haberse quedado en 2023.
Queda la duda de si las auditorías de 2024 y 2025 se realizaron correctamente.
https://www.gpki.go.kr/pds/WebTrustAction.action
Lo mismo pasa con el documento CPS, con cláusulas como que pueden cambiarlo con frecuencia en cualquier momento,
o que, como siguen la ley, en el documento indican que no tienen responsabilidad.
Hay muchas partes ambiguas, así que, incluso dejando de lado por completo lo ocurrido en el pasado, la credibilidad sí termina bajando.
¿Por qué son tan idiotas? (x)
No creo que sean idiotas, entonces ¿por qué hacen esto? (o)
Andar diciendo que son idiotas o tontos viendo solo un fragmento
significa una de dos: o todavía no has conocido en la vida real a alguien que parece poca cosa pero en realidad es muy poderoso y te pone en tu lugar, o has tenido la suerte de no haberte cruzado nunca con alguien así.
No diga esas cosas tan a la ligera.
No es que no haya gente capaz; es que la organización les aprieta la correa y por eso pasa esto. Si no son una o dos personas, sino decenas de miles o cientos de miles repitiendo el mismo problema, entonces no es un problema individual, sino un problema del sistema.
Parece que debes ser lo bastante listo como para no tener que ser funcionario.