Por qué Let’s Encrypt es una muy, muy, muy mala idea …

Introducción

La capacidad de tu sitio web para aparecer en los resultados de búsqueda de Google ahora depende de si utilizas Secure Sockets Layer (SSL). O para decirlo de otra manera, tu sitio debe redirigirse a una URL que comience con “https“.

En un esfuerzo por promover el uso de SSL en la web, los participantes de la industria han creado Let’s Encrypt, un servicio proporcionado por el Grupo de Investigación de Seguridad de Internet. El servicio ha despegado, y los principales proveedores de alojamiento crean herramientas para crear automáticamente certificados SSL e instalarlos en los sitios alojados. Suena como un avance en seguridad cibernética, ¿verdad?

¿Uh … tal vez no?

Fortaleza del cifrado, administración de claves y la “superficie de amenaza”

El corazón del cifrado es la clave de cifrado. Imagina por un momento que tienes un candado del mundo real lo suficientemente grande y fuerte como para soportar un disparo de rifle de calibre 50. ¿De qué sirve que si el villano termina con la llave?

La analogía digital es la fortaleza de cifrado del certificado utilizado para cifrar el tráfico de tu sitio web. Para aplicar la analogía de disparo de rifle de calibre 50, si el villano obtiene una “clave privada” utilizada para generar el certificado SSL, el tamaño del cifrado se vuelve totalmente irrelevante.

Existen numerosas Autoridades de Certificación (CA) que venden certificados SSL. Cada uno tiene su propio “Sistema de gestión de claves” (KMS) auditado externamente. Estas CA envían sus auditorías a los principales proveedores de sistemas operativos como Microsoft, Apple y Google para obtener sus “certificados raíz” en el almacén de “certificados de confianza” del Sistema Operativo. Esto es lo que hace que los certificados SSL de tu sitio web funcionen cuando alguien con, por ejemplo, una Mac navega a tu sitio.

Desde el punto de vista de la seguridad, la fragmentación del mercado de las CA es una característica, no un error.

Certificado

El certificado SSL de Binaria.com fue emitido por cPanel (y vencerá en agosto – ¡mira hacia arriba en Binaria!). Si el Sistema de administración de claves de cPanel se ve comprometido, todos sus certificados SSL tendrán que ser revocados y reemitidos. Pero si una de las otras CA está comprometida, no afectaría el sitio de Binaria.

Let’s Encrypt es un ejemplo donde la “conveniencia” de la emisión automatizada de certificados SSL “gratuitos” es un error, no una característica.

Cuantos más sitios estén asegurados por los certificados de Let’s Encrypt, más grande será la superficie de la amenaza porque la vulneración de KMS de Let’s Encrypt podría afectar potencialmente a una gran cantidad de sitios.

Let’s Encrypt se está seleccionando ahora mismo porque es una solución de “disparar y olvidar” para cifrar el tráfico del sitio. Si se revoca un certificado del sitio, y nadie está prestando atención a esta posibilidad, el tráfico caerá precipitadamente y tú, como persona de negocios, puede no darse cuenta de por qué su generación de plomo se agotó. (La caducidad del certificado, sin que nadie le preste atención, es la razón por la cual nadie en Equifax supo que había sido hackeado durante meses).

“Disparar y olvidar” podría no ser una idea particularmente buena en seguridad cibernética. Sólo digo” …

Piensa como un adversario

Para comprender por qué esto es importante, imagina que podrías ubicarte en el medio entre el sitio web de una empresa y sus clientes o visitantes. Puedes absorber todo ese tráfico, y si tienes las claves privadas de una entidad de certificación como Let’s Encrypt, puedes descifrar el tráfico de los sitios utilizando sus certificados.

Pero eso no es lo peor: su escaneo tradicional no puede detectar tu lugar como “hombre en el medio”. No está necesariamente en la red que aloja el sitio y no está en la computadora del cliente/visitante. Pero estás en el medio, indetectable y con las llaves del reino.

¿Cómo llegarías allí? La forma más fácil y más probable tiene poco que ver con la tecnología. Tu solo logras plantar una información privilegiada en la división de CA que administra su Sistema de administración de claves.

No hay nada en juego

La amenaza interna se aplica a todas las Autoridades de Certificación, pero no igualmente, desde un punto de vista de seguridad informática. Vamos a hacer esta pregunta general:

¿Quién pierde qué si el KMS de una Autoridad de Certificación está comprometido?

Antes de Let’s Encrypt, la respuesta sería que la propiedad de CA pierde reputación y negocios. Si la CA estaba dirigida por una compañía pública, los inversionistas pierden valor en su cartera y la compañía probablemente estaría expuesta a las demandas de los accionistas. La gerencia probablemente sería despedida.

Hagamos la misma pregunta de Let’s Encrypt: ¿Quién pierde qué?

No hay “propietarios”; esta es una organización sin fines de lucro. No hay ingresos; Los certificados SSL son gratuitos.

Nadie pierde nada; No hay “nada en juego”.

Tres aspectos a tomar en cuenta

A medida que se hacen más negocios en la web, a los empresarios les gustaría que existiera una solución de “disparar y olvidar” para proteger la confidencialidad de los datos de sus clientes. La dura verdad es que no existe tal solución. Entonces, ¿qué deben hacer las startups y otras pequeñas empresas?

Primero: evita la tentación de “gratis” y “conveniente”. Las principales Autoridades de Certificados SSL tienen herramientas que puedes usar, o que la persona de soporte de tu computadora use, para emitir el certificado SSL de tu sitio.

También ofrecen soporte de instalación, al igual que las principales empresas de alojamiento. Existe un proceso para verificar que tú eres dueño del dominio, pero no es excesivamente engorroso. Presta especial atención al seguro de incumplimiento que ofrecen como parte de su producto.

Segundo: si tu sitio es alojado por una empresa de alojamiento, presta mucha atención al acuerdo de alojamiento cuando se trata de quién es responsable de qué en términos de asegurar tu sitio. Es probable que debas usar sus herramientas para crear la “solicitud de firma de certificado” (CSR). Tu CA requerirá que la CSR genere el certificado.

Tercero: si contratas el desarrollo y el mantenimiento del sitio, pregunta al proveedor si tiene un seguro cibernético. (Esta es probablemente la razón principal para evitar la deslocalización de este tipo de trabajo). Pídeles que te proporcionen una prueba de cobertura en caso de que tus “errores y omisiones” hagan que tu sitio sea vulnerado.