Certificados en un registro de DNS

Por ello, en 2013 el registro de DNS en la Certification Authority Authorization (CAA) se convirtió en un estándar, pero no tuvo mucha repercusión porque las autoridades emisoras de certificados (CA) no tenían la obligación de atenerse a sus reglas. Este registro de DNS permite al dueño de un dominio ver el listado de CA que pueden emitir certificados SSL o TLS para un dominio. Gracias a este método, se evitan muchos casos de emisión de un certificado no autorizado. Esto puede ocurrir tanto de manera accidental como en el caso de que haya algún trabajador corrupto.

Bajo las reglas actuales de la industria creadas por el CA/Browser Forum, las CA tienen que validar las peticiones de certificados SSL que provienen de propios dueños de los dominios o de quien controle dichos dominios. Este proceso de verificación normalmente se realiza de manera automática a través de un registro que el dueño del dominio sube un registro TXT con las DNS, o utiliza códigos de autorización para demostrar que realmente él tiene el control sobre el dominio.

El problema de estos métodos de verificación es que un hacker puede tomar el control de una web y hacerse pasar por el dueño real del dominio y obtener un certificado de cualquier autoridad. Posteriormente,un certificado puede usarse para ataques man-in-the-middle o para redirigir a los usuarios a páginas de phishing para robarles los datos.

Lucha contra los certificados falsos

Para limitar esto, el registro de la CAA buscará limitar quien puede emitir certificados a un dominio. Por ejemplo, el siguiente registro quiere decir que Google autoriza a Symantec para emitirlos para su dominio principal.

google.com. 86400 IN CAA 0 issue “symantec.com”

En marzo se aprobó que este registro sea obligatorio a partir del 8 de septiembre, y las autoridades de emisión de certificados que no cumplan con esto, estarán violando las leyes de la industria y se arriesgarán a recibir sanciones. Además, los dueños de los dominios deberán especificar una dirección de email o una URL donde la autoridad de emisión de certificados pueda reportar problemas de emisión que vayan en contra de la política de la CAA.

Por ejemplo, si una autoridad recibe una solicitud de un certificado para un dominio que ya tiene un registro que autoriza a otra autoridad diferente a emitir certificados, la primera autoridad deberá reportar actividad sospechosa en ese email o dirección especificada. La alerta llegará al dueño del dominio de que alguien está intentando obtener un certificado sin su autorización. Aunque esto no sea una manera definitiva de acabar con los certificados falsos, sí que constituye una nueva capa de defensa frente a estos.

 

Fuente: PCWorld | adslzone