¿Cómo funciona Certificate Transparency?
Certificate Transparency (CT o transparencia de los certificados) funciona dentro de la infraestructura existente de la autoridad de certificación (CA) como una forma de validar la autorización de una entidad con posterioridad a la emisión de los certificados SSL.
A continuación se detalla el proceso de emisión de certificados, con los nuevos pasos que introduce el marco CT resaltados en azul.
- El operador del servidor adquiere el certificado de la CA.
- La CA valida el operador del servidor.
- La CA crea un precertificado.
- La CA registra el precertificado con el servidor de registro, que devuelve una marca de tiempo de certificado firmada (SCT).
- La CA emite el certificado SSL.
- El certificado SSL puede incluir la marca de tiempo de certificado firmada (SCT).
- El navegador valida el certificado SSL durante el handshake de TLS.
- El navegador valida la SCT proporcionada durante el handshake de TLS, ya sea a través del grapado de OCSP, de una extensión de TLS o a partir de la información incluida en el certificado.
- El navegador establece la conexión con el servidor.
- El certificado SSL cifra todos los datos que pasan del navegador al servidor.
Existen tres formas de entregar la SCT durante el handshake de TLS, tal como se explica aquí. A continuación se incluye un diagrama de este proceso para uno de los métodos de entrega de las SCT.
Componentes de Certificate Transparency (CT)
El sistema CT consta de cuatro componentes: CA, registro de certificados, supervisor de certificados y auditor de certificados. A continuación se muestra un diagrama con una configuración probable de estos componentes, seguido de una explicación más detallada de cada uno de ellos.
Autoridad de certificación (CA)
El marco CT funciona dentro del sistema existente de CA de confianza pública. Con CT, las CA pueden incluir pruebas de la emisión de certificados en un registro público y los navegadores pueden comprobar estas SCT durante el proceso de handshake. El registro de certificados, que es una prueba del correcto funcionamiento de la CA, proporciona información sobre las operaciones de la CA.
Registro de certificados
Idealmente, en los registros de certificados deben constar todos los certificados SSL emitidos, aunque la implementación inicial se limite a los certificados con EV. Se necesitan varios registros independientes por varias razones: 1) si hay varios registros, se puede tener una copia de seguridad en caso de fallo de un registro; 2) tener registros independientes significa que si un registro o un operador de registro tiene problemas, los certificados pueden seguir validándose; 3) con registros independientes, una única administración no puede eliminar las pruebas de emisión de todos los registros; y 4) tener varios registros independientes significa que una CA y un operador de registro no pueden confabularse para ocultar un error de emisión embarazoso.
Los registros:
- Solo permiten la adición: los certificados solo se pueden añadir a un registro; no se pueden eliminar, modificar ni insertar retroactivamente.
- Están protegidos criptográficamente: los registros utilizan un mecanismo criptográfico denominado «Merkle Tree Hash» para evitar su manipulación.
- Son auditables públicamente: cualquiera puede consultar un registro y buscar certificados fraudulentos o mal emitidos. Todos los registros de certificados deben anunciar públicamente sus URL y su clave pública.
Supervisor de certificados
Un supervisor de certificados es cualquiera que vigile los registros de certificados en busca de actividad sospechosa, como los propietarios de grandes marcas o las CA.
Los supervisores pueden obtener información de los registros mediante un comando HTTP GET. Cada cliente puede actuar como su propio servicio de supervisión de registros o delegar esta tarea en terceros. DigiCert tiene previsto ofrecer servicios de supervisión de registros a sus clientes.
Auditor de certificados
Los auditores de certificados comprueban los registros para verificar que sean coherentes con otros registros, que se hayan añadido nuevas entradas y que el registro no haya sido dañado por alguien que haya insertado, eliminado o modificado un certificado con carácter retroactivo.
Normalmente, la auditoría es un proceso automatizado integrado en los navegadores. Sin embargo, los auditores pueden ser un servicio independiente o una función secundaria de un supervisor.
