Cloudflare el jueves reconoció este fracaso, escribiendo: fallamos tres veces. La primera vez porque 1.1.1.1 es un certificado de IP y nuestro sistema no pudo alertar sobre estos. La segunda vez porque incluso si recibiéramos alertas de emisión de certificados, como cualquiera de nuestros clientes puede, no implementamos un filtrado suficiente. Con la gran cantidad de nombres y emisiones que administramos, no ha sido posible para nosotros mantenernos al día con las revisiones manuales. Finalmente, debido a este monitoreo ruidoso, no habilitamos la alerta para todos nuestros dominios. Estamos abordando las tres deficiencias. En última instancia, la falla se encuentra con Fina; Sin embargo, dada la fragilidad del TLS PKI, corresponde a todos los interesados para garantizar que se cumplan los requisitos del sistema. ¿Y qué hay de Microsoft? ¿Es la culpa también? Hay cierta controversia sobre este punto, como aprendí rápidamente el miércoles de las redes sociales y los comentarios del lector de ARS. Los críticos del manejo de este caso de Microsoft dicen que, entre otras cosas, su responsabilidad de garantizar la seguridad de su programa de certificado raíz incluye verificar los registros de transparencia. Si lo hubiera hecho, dijeron los críticos, la compañía habría descubierto que FINA nunca había emitido certificados para 1.1.1.1 y ha considerado más en el asunto. Además, al menos algunos de los certificados tenían una codificación no conformada, y los nombres de dominio enumerados con dominios de nivel superior inexistentes. Este certificado, por ejemplo, enumera SSLTest5 como su nombre común. En cambio, como el resto del mundo, Microsoft se enteró de los certificados de un foro de discusión en línea. Algunos expertos en TLS con los que hablé dijeron que no está dentro del alcance de un programa raíz para realizar un monitoreo continuo de este tipo de problemas. En cualquier caso, Microsoft dijo que está en el proceso de hacer que todos los certificados se encuentren parte de una lista de no permiso. Microsoft también ha enfrentado una larga crítica de que es demasiado indulgente en los requisitos que impone a CAS incluidos en su programa de certificado raíz. De hecho, Microsoft y otra entidad, el servicio de confianza de la UE, son los únicos que, por defecto, confían en Fina. Google, Apple y Mozilla no. «La historia aquí es menos el certificado 1.1.1.1 y más por qué Microsoft confía en esta CA operada descuidadamente», dijo Filippo Valsorda, un experto en Web/PKI, en una entrevista. Le pregunté a Microsoft sobre todo esto y aún no he recibido una respuesta.
Deja una respuesta