Los propietarios de autoridades de certificación de confianza pública (PT-CA) son fundamentales para el funcionamiento seguro de Internet. El público general y mundial y los principales proveedores de navegadores les confían la tarea de proporcionar la infraestructura de clave pública esencial (PKI) necesarios para establecer confianza, proteger las comunicaciones y facilitar transacciones seguras en línea. Para mantener su confiabilidad, las CA de confianza pública deben invertir importantes recursos en la seguridad de sus operaciones y el cumplimiento de los últimos estándares, y están sujetas a rigurosas auditorías y supervisión independientes.
Las PT-CA, como empresas, tienen un interés legítimo en crear una red de revendedores confiables para distribuir sus productos y expandir su presencia en el mercado. Dado que actúan como “anclas de confianza”, a menudo reciben solicitudes de partes interesadas que desean incluir en sus ofertas el suministro de certificados de confianza pública, a veces bajo su propio nombre; estas se denominan subCA “de marca blanca” o “de marca”.
Muchos miembros de la comunidad de suscriptores, revendedores y PT-CA consideran que las subCA de marca son valiosas para ayudar a crear reputación sin tener que invertir en una infraestructura de CA totalmente dedicada, y la mayoría de los clientes revendedores manejan el privilegio de tener su propia marca dentro de una SubCA de manera responsable. Desafortunadamente, hay casos en los que pueden surgir malas prácticas de seguridad o abusos, intencionales o no.
Este documento técnico analiza los riesgos de seguridad relacionados con los revendedores de subCA de marca y sugiere buenas prácticas basadas en la experiencia recopilada a través de nuestra encuesta y las lecciones aprendidas al analizar casos recientes en la industria. Nuestros hallazgos deberían ser útiles para los formuladores de políticas (Foro CA/B, propietarios de tiendas raíz), para los PT-CA que son en última instancia responsables de la confiabilidad de sus servicios y para cualquier otra parte interesada.
Peritaje
SSL.com realizó una encuesta en la segunda mitad de 2023 para recopilar información de la comunidad que sería útil para este informe. Nuestra encuesta incluyó preguntas que cubrían los siguientes aspectos:
- Popularidad del modelo subCA de marca.
- Alcance del cambio de marca: respondedores CRL/OCSP de marca, portales de usuarios, nombres de productos personalizados
- Proceso de selección/verificación de clientes subCA de marca
- Uso de su propio portal de usuario.
- Auditoría e inspección de estos portales
- Lecciones aprendidas basadas en la experiencia con clientes subCA de marca
- Desafíos técnicos al generar, controlar o revocar subCA de marca
La encuesta se dirigió a nueve PT-CA que, según el análisis de los datos de CCADB, parecen tener la mayor experiencia con el modelo subCA de marca.
Resultados de la encuesta
Recibimos respuestas de 5 de los 9 PT-CA y realizamos un seguimiento para obtener aclaraciones. Se analizaron las respuestas para identificar puntos en común y diferencias en el modelo subCA de marca y las prácticas relevantes, tal como las aplica la industria de CA.
Aspectos destacados de los resultados de la encuesta:
-
En la industria se utilizan varios términos sinónimos para este o modelos subCA similares: calificada, etiqueta blanca, a dedicados, vanidad.
-
4 de las 5 CA participantes confirmaron que las subCA de marca forman parte de sus ofertas. El producto está dirigido a clientes seleccionados, como proveedores de hosting y grandes revendedores. También es aplicable en casos de grandes cuentas que necesitan certificados para uso propio; por ejemplo, una autoridad competente informó haber aplicado el modelo a instituciones académicas y de investigación.
-
La marca normalmente incluye la emisión de certificados subCA que tienen el nombre del cliente/revendedor en el campo SubjectDN. La marca extendida también puede incluir URL de respuesta CRL/OCSP de marca y microportales de marca para clientes/revendedores más pequeños que no tienen sus propios portales RA.
-
El proceso de selección de SubCA se basa principalmente en criterios empresariales/comerciales, como el tipo de actividad, la cantidad prevista de certificados y el uso previsto. Algunas PT-CA informaron que pueden sugerir o decidir por su cuenta crear subCA dedicadas, con o sin marca, para distinguirlas de sus CA emisoras de propósito general cuando prestan servicios a grandes clientes o proyectos, como un medio para aislar el impacto/riesgos en caso de que de un incidente (por ejemplo, compromiso, incumplimiento u otro tipo) que requiera la revocación.
-
La investigación de antecedentes normalmente implica las siguientes actividades de validación:
a. verificación del nombre, dirección y existencia de la organización (similar a un proceso OV o EV); y
b. verificación de la autorización de la solicitud.
-
Una de las PT-CA participantes informó que, antes de firmar un contrato, se lleva a cabo una consulta interna con el equipo de Cumplimiento para verificar la reputación del Solicitante SubCA de marca. Esto incluye la búsqueda en recursos públicos de informes de participación en actividades de falsificación de datos o lavado de dinero. CCADB y Bugzilla son fuentes adicionales de información cuando un solicitante ya es un PT-CA.
-
Ninguno informó haber negado un cliente subCA de marca por razones distintas a las comerciales o financieras.
-
Casi todas las PT-CA informaron que la mayoría de las subCA de marca cuentan con su propio portal de usuario; un PT-CA lo cuantificó en el 80% de su número total de socios subCA de marca. Como excepción, una PT-CA no tenía conocimiento de que ninguno de sus clientes subCA de marca utilizara su propio portal de usuarios.
-
Ninguna PT-CA informó haber auditado o inspeccionado de otro modo el portal de usuarios de terceros de sus subCA de marca (a menos que la subCA de marca también sea una PT-CA, lo que significa que sus portales de usuarios están sujetos a auditoría de todos modos).
-
Un PT-CA informó las siguientes lecciones aprendidas:
a. La cantidad de certificados emitidos debe ser lo suficientemente grande como para justificar el mantenimiento de una subCA de marca.
b. Vale la pena comprobar su experiencia en la industria antes de proceder con el contrato.
C. También conviene cuidar la duración adecuada del contrato.
-
Un par de PT-CA informaron que no ven ningún desafío técnico particular al generar, controlar o revocar subCA de marca.
Revendedores de valor agregado
Según los resultados de la encuesta y la información que recopilamos con nuestra propia investigación, casi todos los PT-CA ofrecen programas de revendedor; desde empresas o individuos que disfrutan de descuentos al por mayor y revenden productos de CA por un margen (revendedores simples) hasta entidades que incorporan productos de CA a sus propias ofertas o brindan servicios de valor agregado en beneficio de sus clientes. Los primeros (“revendedores simples”) no participan en ninguna parte del servicio excepto la venta misma, por lo que se consideran fuera del alcance de este documento.
Por otro lado, los revendedores de valor agregado (VAR) pueden tener una participación pequeña o significativa en facilitar el proceso del ciclo de vida de la clave/certificado. Dado que esto tiene implicaciones de seguridad y cumplimiento, este documento se centra en los VAR y considera los riesgos (y beneficios) inherentes.
Nuestra investigación reveló que existen diferentes tipos/prácticas para VAR en la industria, dependiendo de su participación en los procesos del ciclo de vida de clave/certificado, el uso del portal de PT-CA o su propio portal/sistemas, el uso de subCA emitidas con el nombre de la PT-CA/CA raíz, o subCA de marca.
Los casos más comunes que identificamos son los siguientes:
- VAR que utilizan los sistemas de PT-CA/CA raíz: comúnmente ayudan a las entidades que poseen/controlan nombres de dominio mediante el uso del Portal de autoridad de registro de la CA; su asistencia suele centrarse en el registro y gestión de certificados en nombre de estos propietarios de dominios.
- VAR con Portales de Autoridad de Registro independientes: Por lo general, tienen su propio portal para registrar usuarios independientemente de la CA y utilizan la API de la CA en el backend para realizar actividades del ciclo de vida del certificado.
-
-
Las actividades de validación de dominio normalmente las realiza la CA. Por ejemplo, si se debe enviar un mensaje de correo electrónico con un valor aleatorio al Solicitante para demostrar el control de un Nombre de dominio, se envía directamente desde los sistemas de PT-CA, no desde los del revendedor.
-
Según la sección 6.1.1.3 de los BR, las PT-CA no pueden generar pares de claves en nombre de los Suscriptores. Algunos Suscriptores pueden usar VAR para generar y posiblemente almacenar esas claves.
-
- Revendedores subCA de marca: En la mayoría de los casos, se trata de VAR que tienen un acuerdo con la PT-CA para adquirir una CA emisora personalizada que contiene la “marca” del VAR.
-
-
Esto suele ser un subCA operada internamente, por lo que el operador de CA principal (generalmente raíz) generalmente administra las claves y los eventos del ciclo de vida de esa subCA.
-
SubCA operadas externamente también puede contener la marca de la entidad que opera la subCA, pero dado que esta entidad controla una Clave Privada asociada con un Certificado de CA Emisora, debe ser auditada adecuadamente de acuerdo con la sección 8.1 de la TLS Requisito de referencia, o debe estar técnicamente restringido de acuerdo con las secciones 7.1.2.3, 7.1.2.4, 7.1.2.5 y auditado internamente de acuerdo con la sección 8.7 del TLS Requisitos básicos. Se considera fuera del alcance de este informe técnico.
-
Además de los revendedores de subCA de marca, los suscriptores de gran tamaño también pueden solicitar una subCA de marca para emitir certificados bajo el nombre de su organización (es decir, para su propio uso). Este modelo no se examina aquí porque tiene los mismos riesgos que con un simple Suscriptor, en el sentido de solicitar y gestionar grandes volúmenes de certificados para su propia Organización.
De manera similar, los revendedores que no participan en ninguna parte de la gestión del ciclo de vida de claves/certificados (por ejemplo, revendedores que forman parte de un programa de referencia con ventas sujetas a comisión) no están dentro del alcance de este documento técnico.
SubCA de marca
Las subCA operadas externamente, un modelo que fue popular en el pasado (según el análisis de los datos de la CCADB), se han reducido significativamente en los últimos años (en la CCADB, había 93 subCA de autenticación de servidor con "Auditoría no igual que la principal" todavía activa y encadenado a una raíz confiable) y continúa utilizándose en algunos casos. Cuando se utiliza, el certificado subCA incluye el nombre del socio en el nombre de la organización del DN del sujeto y requiere auditorías externas independientes.
La industria utiliza dos prácticas para la organización subCA de marca operada internamente:
- Algunas CA incluyen el nombre de la CA emisora (operador raíz) en el nombre de la organización del sujeto DN del certificado de CA intermedia de marca.
- Algunas CA incluyen el nombre de la SubCA de marca en el nombre de la organización del DN del sujeto del certificado de CA intermedia de marca.
Con los requisitos actuales, es difícil para una parte que confía identificar fácilmente si la CA emisora es operado por la CA raíz u otra entidad.
Riesgos del modelo VAR
Después de analizar los comentarios de la encuesta y las diversas prácticas de VAR en esta industria, identificamos algunos riesgos que son aplicables principalmente a los VAR que actúan en nombre de un Suscriptor:
-
Generación clave y/o almacenamiento de la clave privada: Esta es una función crítica para la cual los estándares actuales no imponen requisitos ni auditorías a los VAR. La falta de visibilidad de su postura de seguridad aumenta el riesgo de que las claves privadas del suscriptor se vean comprometidas.
-
Almacenamiento de información de identificación personaly posiblemente otra información confidencial (por ejemplo, tarjetas de crédito), con el riesgo de exposición de datos privados. Este riesgo es similar al mencionado anteriormente; Además, existe el riesgo de uso inadecuado de la PII, es decir, uso de la PII para fines distintos a los aprobados por el Suscriptor.
-
Revocación de certificado, con el riesgo de Denegación de Servicio para los Suscriptores. En el caso de los VAR que tienen acceso privilegiado a las cuentas de sus clientes, un incidente en el sistema de un VAR o incluso una acción accidental del VAR puede resultar en una revocación masiva, afectando así la disponibilidad de múltiples sitios web.
-
Nueva clave del certificado, permite en determinadas circunstancias reemplazar una clave pública en un certificado sin volver a realizar la Validación del Dominio, con el riesgo de interceptar el tráfico cifrado hacia/desde los sitios web del Suscriptor.
-
Reutilización de evidencia utilizada para la Validación de Dominio: Tras la emisión inicial, existe una interacción directa con el propietario del dominio que permite a la PT-CA tener control total sobre el proceso DCV. En el caso de la reutilización de evidencia del DCV, este paso no es aplicable, lo que significa que existe el riesgo de que el VAR pueda solicitar con éxito la emisión de un nuevo certificado para los dominios en cuestión sin el permiso del Suscriptor.
-
Los VAR tienen mayor impacto y, por tanto, se convierten en un “bote de miel” en caso de compromiso. Un VAR se consideraría un objetivo más atractivo, y si un atacante logra penetrar o comprometer los sistemas de un VAR (por ejemplo, su portal), esto podría afectar a más suscriptores independientes, lo que tendría un impacto mucho mayor en comparación con los ataques a suscriptores individuales.
-
El uso de una costumbre. portal revendedor añade un elemento más en la cadena de seguridad, ampliando la superficie de ataque. Los riesgos específicos para un portal de revendedores incluyen:
-
Amenazas de ciberseguridad
-
Mala higiene de la seguridad de la información.
-
Mecanismos débiles de autenticación/autorización/contabilidad
-
-
Agregar más personas del negocio del revendedor a posiciones privilegiadas del proceso de gestión del ciclo de vida del certificado conduce a una mayor superficie de ataque.
-
Actos maliciosos por el VAR; esto es inherente a cualquier actividad delegada donde una entidad que actúa en nombre del beneficiario real de un servicio (en nuestro caso, el Suscriptor del Certificado), puede actuar de manera maliciosa. Un ejemplo simple sería un VAR malicioso que "ayuda" a un Solicitante a generar un par de claves y luego vende la clave privada a un atacante.
Durante nuestro análisis, identificamos que si a un VAR se le otorga una subCA de marca operada internamente, los riesgos son los mismos, aunque conceptualmente la subCA de marca ahora se considera "confiable" porque la CA raíz esencialmente "garantiza" por la subCA. Tenga en cuenta que las URL CRL, OCSP y CAIssuer también deben ser operadas internamente por la CA raíz.
Buenas practicas
Después de considerar los riesgos anteriores, nos gustaría sugerir algunas buenas prácticas que pueden minimizar el potencial de cualquier deficiencia o acción inapropiada por parte de los clientes de subCA.
Para subCA de marca:
- Conozca a su socio potencial: La emisión de un certificado subCA de marca otorga conceptualmente al revendedor la reputación y confiabilidad de la PT-CA. En consecuencia, es importante que los operadores de CA raíz examinen a su revendedor potencial, desde la validación de identidad (siguiendo las pautas OV/EV) hasta la documentación legal y la investigación de la reputación de la empresa y la reputación de los propietarios y el equipo directivo.
- Reverificación y reevaluación: Se debe aplicar una nueva verificación periódica de todos los registros comerciales de revendedores de marcas subCA para garantizar la legalidad y la buena reputación. Además del uso de fuentes públicas, la reevaluación de los revendedores puede considerar su desempeño durante la asociación en curso.
- Disposiciones y políticas contractuales: Las PT-CA deben asegurarse de mantener el control sobre el contrato, de modo que cualquier rescisión del contrato y revocación de la subCA resultante de un incumplimiento del contrato quede a su exclusivo criterio. Los acuerdos subCA de marca podrían incluir disposiciones que den a la PT-CA más visibilidad sobre las prácticas del revendedor y establezcan requisitos mínimos con respecto a la seguridad interna, el servicio al cliente y el cumplimiento de las BR (en caso de que actúen como terceros delegados).
- Entorno legal: Es necesario tener en cuenta las leyes y costumbres de la jurisdicción donde operará el revendedor antes de otorgar una subCA de marca a entidades extranjeras. Esto puede incluir la compatibilidad de las leyes de privacidad y los requisitos de licencia.
- Mantener el control de los recursos: Algunas jurisdicciones pueden exigir que sólo empresas localizadas operen en su área; esto puede incluir la propiedad de nombres de dominio o infraestructura clave. Algunos clientes solicitan una marca "extendida", por ejemplo, URL de respuesta de OCSP con marca y otros recursos que forman parte de las obligaciones de PT-CA. La PT-CA debe garantizar que su control sobre estos recursos sobrevivirá a una posible terminación de dicho acuerdo, de lo contrario corre el riesgo de violar los requisitos de CA/Browser Forum.
- Análisis costo-beneficio y tratamiento de riesgos.: El modelo subCA de marca puede ser lucrativo, pero también conlleva riesgos de cumplimiento y reputación. Un PT-CA prudente los analiza antes de otorgar reputación y confiabilidad a un socio potencial. Además de la simple aprobación o rechazo, la decisión puede incluir controles que remedien cualquier riesgo identificado.
- Transparencia: A través de la marca, los revendedores (quizás deseen) promocionarse como “CA de confianza pública”. La transparencia exige que los consumidores y las partes que confían tengan al menos una indicación de la entidad real en la que confían. Una forma sugerida es mantener el nombre del tercero en el nombre común de las sujetoDN del certificado subCA de marca y utilice el nombre de la organización del operador de CA real (por ejemplo, PT-CA) en el Nombre de la Organización.
Para todos los VAR:
- Las medidas de seguridad: Para VAR, SSL.com ha emitido el "Guía de mejores prácticas de seguridad de autoridades certificadoras para revendedores de marca: medidas de seguridad integrales”. Incluye una serie completa de posibles medidas de seguridad y referencias a los requisitos de NetSec. En el caso más simple de que un VAR no utilice sus propios sistemas (por ejemplo, portal de usuario) para el ciclo de vida del certificado, es posible que algunos de los requisitos no sean aplicables.
- Protección de suscriptores: Las PT-CA deben identificar y abordar los riesgos asociados con el acceso al sistema puesto a disposición de los VAR. Una PT-CA debe tener diferentes niveles de acceso para cuentas de revendedor y no revendedor, lo que permite más restricciones en el nivel de acceso de revendedor para proteger las cuentas de suscriptor del abuso. Por ejemplo, esto puede incluir controles para evitar la reutilización de evidencia de Validación de Dominio anterior por parte de los VAR. Con este fin, los requisitos básicos también podrían exigir que cualquier persona que no sea un 'RA empresarial' (es decir, que solicite solo sus propias organizaciones y dominios) deba completar la validación de dominio para cada emisión (emisión, reemisión, nueva clave, duplicado y renovación).
- Acuerdos de suscriptor y revendedor: Las PT-CA podrían ofrecer dos tipos de Acuerdos de Suscriptor: un Acuerdo de Suscriptor que no permite la reventa y un Acuerdo de Revendedor Dedicado que contiene cláusulas y expectativas adicionales. Por ejemplo, los Acuerdos de Revendedor podrían incluir disposiciones relacionadas con la administración de cuentas de Suscriptores y promover la seguridad de la información. desinfección como se describe en el Guía de mejores prácticas de seguridad de autoridades certificadoras para revendedores de marca: medidas de seguridad integrales.
Nota: No consideramos el caso de un proveedor de hosting que participa en el ciclo de vida del certificado, normalmente de forma automatizada a través de paneles de control de hosting web comunes (Plesk, VirtualMin, CPanel).
- Disposiciones y políticas contractuales: Incluir disposiciones adicionales al Acuerdo de Revendedor, como el derecho a auditar, sugerir/exigir pruebas de penetración anuales, revisión de configuraciones del sistema, implementar MFA o controles de autenticación al menos al mismo nivel que el PT-CA, monitoreo y divulgación de incidentes.
- Integración segura: Imponer el uso de API seguras, por ejemplo aplicar autenticación segura a través de un canal cifrado, duración limitada de la sesión, alcance adecuado de las cuentas/registros que afectan solo al VAR y sus clientes/suscriptores, etc.
- Gestión de vulnerabilidades: Asegúrese de que se realicen análisis periódicos de vulnerabilidades en el portal de revendedores. Esto puede ser requerido por el Acuerdo de Revendedor o puede ser parte de los servicios ofrecidos por PT-CA para ayudar en la buena seguridad del portal del revendedor.
- Evaluación de su postura de seguridad: Recopilación de información relacionada con la seguridad y evaluación de riesgos como parte del proceso de incorporación de revendedores. Esto se puede aplicar mediante cuestionarios estructurados o software especializado.
- Evaluación Anual: Los PT-CA no deberían limitarse a establecer relaciones VAR no supervisadas. Es importante implementar un proceso de evaluación que se realice al menos una vez al año.
- Boletines de concientización: El envío periódico de boletines informativos sobre concientización sobre la seguridad ayuda a los revendedores a mejorar su comprensión de las amenazas a la ciberseguridad y a estar mejor preparados contra los ataques. Estos boletines podrían contener información sobre nuevas advertencias de seguridad relacionadas con PKI sistemas, un recuento de ataques intentados (o exitosos) o instrucciones sobre cómo utilizar las herramientas y técnicas necesarias para mejorar la seguridad.
Conclusiones
Como cualquier oportunidad, la venta de subCA de marca tiene aspectos tanto positivos como negativos. Más que la venta de certificados de entidad final, las subCA de marca exponen a la CA confiable a posibles daños basados en las actividades del revendedor-cliente, sin dejar de ofrecer la posibilidad de obtener grandes beneficios. Sin embargo, no se deben pasar por alto los VAR; sus prácticas comerciales y de seguridad pueden introducir riesgos para los suscriptores y, por lo tanto, para la reputación y confiabilidad de PT-CA.
Antes de entablar cualquier relación de subCA o VAR de marca, se advierte a los PT-CA que lleven a cabo una debida diligencia exhaustiva, consideren todas las posibles ramificaciones, tomen decisiones informadas y celebren contratos bien desarrollados que protejan la confianza de los PT-CA. Este documento muestra que hay opciones disponibles, lecciones aprendidas y buenas prácticas a seguir.
Descubra los riesgos y las mejores prácticas para las sub-CA de marca y los revendedores de valor agregado en nuestro documento técnico detallado.