Certificado raíz

Certificado que identifica una autoridad raíz

El papel del certificado raíz en la cadena de confianza .

En criptografía y seguridad informática , un certificado raíz es un certificado de clave pública que identifica una autoridad de certificación raíz (CA). ^[1] Los certificados raíz están autofirmados (y es posible que un certificado tenga múltiples rutas de confianza, por ejemplo, si el certificado fue emitido por una raíz que fue firmada de forma cruzada) y forman la base de una infraestructura de clave pública (PKI) basada en X.509 . O bien tiene un identificador de clave de autoridad coincidente con el identificador de clave de sujeto, en algunos casos no hay un identificador de clave de autoridad, entonces la cadena de emisor debe coincidir con la cadena de sujeto ( RFC  5280). Por ejemplo, las PKI que admiten HTTPS ^[2] para la navegación web segura y los esquemas de firma electrónica dependen de un conjunto de certificados raíz.

Una autoridad de certificación puede emitir varios certificados en forma de estructura de árbol . Un certificado raíz es el certificado superior del árbol, la clave privada que se utiliza para "firmar" otros certificados. Todos los certificados firmados por el certificado raíz, con el campo "CA" establecido en verdadero, heredan la fiabilidad del certificado raíz (una firma por un certificado raíz es algo similar a "certificar" una identidad en el mundo físico). Este tipo de certificado se denomina certificado intermedio o certificado de CA subordinado. Los certificados que se encuentran más abajo en el árbol también dependen de la fiabilidad de los intermedios.

El certificado raíz suele hacerse confiable mediante algún mecanismo distinto al certificado, como por ejemplo mediante una distribución física segura. Por ejemplo, algunos de los certificados raíz más conocidos son distribuidos en sistemas operativos por sus fabricantes. Microsoft distribuye certificados raíz pertenecientes a miembros del Programa de certificados raíz de Microsoft a los equipos de escritorio de Windows y a Windows Phone 8. [ ^2] Apple distribuye certificados raíz pertenecientes a miembros de su propio programa raíz .

Incidentes de uso indebido de certificados raíz

El hackeo de DigiNotar en 2011

En 2011, la autoridad de certificación holandesa DigiNotar sufrió una vulneración de seguridad. Esto dio lugar a la emisión de varios certificados fraudulentos, que se utilizaron, entre otras cosas, para atacar a los usuarios iraníes de Gmail. La confianza en los certificados de DigiNotar se retiró y el gobierno holandés asumió la gestión operativa de la empresa .

El Centro de Información de la Red de Internet de China (CNNIC) emite certificados falsos

Ejemplo de un certificado raíz de DigiCert

En 2009, un empleado del Centro de Información de la Red de Internet de China (CNNIC) solicitó a Mozilla que añadiera CNNIC a la lista de certificados raíz de Mozilla ^[3] y fue aprobado. Más tarde, Microsoft también añadió CNNIC a la lista de certificados raíz de Windows .

En 2015, muchos usuarios decidieron no confiar en los certificados digitales emitidos por CNNIC porque se descubrió que una CA intermedia emitida por CNNIC había emitido certificados falsos para nombres de dominio de Google ^[4] y planteó inquietudes sobre el abuso del poder de emisión de certificados por parte de CNNIC. ^[5]

El 2 de abril de 2015, Google anunció que ya no reconocía el certificado electrónico emitido por CNNIC. ^{[6] [7] [8]} El 4 de abril, siguiendo a Google, Mozilla también anunció que ya no reconocía el certificado electrónico emitido por CNNIC. ^{[9] [10]}

WoSign y StartCom: emisión de certificados falsos y retroactivos

En 2016, Google negó el reconocimiento de los certificados de WoSign , el mayor emisor de certificados CA de China , propiedad de Qihoo 360 ^[11] y su filial israelí StartCom . Microsoft eliminó los certificados pertinentes en 2017. ^[12]

WoSign y StartCom emitieron cientos de certificados con el mismo número de serie en solo cinco días, además de emitir certificados retroactivos. ^[13] WoSign y StartCom emitieron un certificado falso de GitHub . ^[14]

Véase también

• Protocolo de estado de certificado en línea (OCSP)
• Superpez
• SHA-1
• Marca de tiempo
• Verisign
• Google y Symantec se enfrentan en los controles de seguridad de sus sitios web

Referencias

1. "¿Qué son los certificados CA?". Microsoft TechNet . 28 de marzo de 2003.
2. "Programa de certificados raíz SSL de Windows y Windows Phone 8 (CA miembro)". Microsoft TechNet . Octubre de 2014.
3. "476766 - Agregar certificado raíz de CA del Centro de información de red de Internet de China (CNNIC)". bugzilla.mozilla.org . Archivado desde el original el 22 de febrero de 2020 . Consultado el 3 de enero de 2020 .
4. "CNNIC发行的中级CA发行了Google的假证书". solidot. 2015-03-24. Archivado desde el original el 26 de marzo de 2015 . Consultado el 24 de marzo de 2015 .
5. "最危险的互联网漏洞正在逼近". Archivado desde el original el 21 de noviembre de 2015 . Consultado el 26 de marzo de 2015 .
6. "Google prohíbe la autoridad de certificación de sitios web de China tras una vulneración de seguridad". N.º 2 de abril de 2015. Extra Crunch.
7. "谷歌不再承認中國CNNIC頒發的信任證書".華爾街日報. 2015-04-03 . Consultado el 3 de abril de 2015 .
8. "谷歌不再信任中国CNNIC 的网站信任证书".美國之音. 2015-04-03 . Consultado el 3 de abril de 2015 .
9. "Google y Mozilla deciden prohibir la autoridad de certificación china CNNIC en Chrome y Firefox". VentureBeat. 2 de abril de 2015.
10. "Mozilla紧随谷歌 拒绝承认中国安全证书".美國之音. 2015-04-04 . Consultado el 4 de abril de 2015 .
11. "谷歌宣布开始全面封杀使用沃通CA证书网站,信誉破产的恶果 - 超能网". www.expreview.com . Consultado el 3 de enero de 2020 .
12. Equipo de investigación de seguridad de Microsoft Defender (8 de agosto de 2017). "Microsoft eliminará los certificados WoSign y StartCom en Windows 10". Microsoft.
13. "CA:Problemas de WoSign - MozillaWiki". wiki.mozilla.org . Consultado el 3 de enero de 2020 .
14. Stephen Schrauger. "La historia de cómo WoSign me dio un certificado SSL para GitHub.com". Schrauger.com .