Certificados de AWS y Certificate Transparency

Certificados de AWS y Certificate Transparency

Cuando eres dueño de un dominio que tiene habilitado el protocolo HTTPS, una de las principales preocupaciones que deberías de tener es saber si se ha emitido un certificado SSL falso para tu dominio, o se ha emitido un certificado para dicho dominio por un error humano. Con el sistema actual, no se mantiene un registro de los certificados que se emiten, por tanto, los dueños del dominio no tienen forma de identificar los certificados falsos.

Certificate Transparency  es un método de verificación de los certificados que, si bien no desplaza a otras soluciones que existen actualmente, las complementa, y esto lo hace mediante la creación de un registro criptográficamente seguro de cada certificado emitido para cada dominio. Los propietarios de un determinado dominio, pueden buscarlo en el log público para saber si se ha emitido un certificado falso, o ha habido algún tipo de error humano al emitir un certificado nuevo. Además, uno de los puntos fuertes de este método es que los dueños de los dominios, también pueden saber qué CA (Autoridad de Certificación) ha emitido el certificado falso.

La forma en la que Certificate Transparency funciona es que cuando una CA emite un certificado digital de un determinado dominio, la CA debe enviar el certificado a uno o varios servidores de registro de Certificate Transparency. Este servidor de registro debe responder con una marca de tiempo certificada y firmada (SCT), confirmando que efectivamente el certificado nuevo se agregará a la lista de certificados conocidos. La SCT se integra directamente en el propio certificado digital, y lo entrega al navegador para que lo compruebe. El SCT es una especie de justificante indicando que ese certificado está dado de alta en el registro público.

Un tema muy importante a considerar si eres poseedor de un dominio con el protocolo HTTPS habilitado, es que a partir del 30 de abril de 2018, si un certificado no tiene un SCT, Google Chrome nos avisará de ello. Un detalle importante es que si el certificado ha sido emitido antes de esta fecha, y no tiene SCT, no nos saldrá ningún tipo de aviso o error, solo los nuevos y renovados a partir de esa fecha. Es muy probable que próximamente el resto de navegadores web también hagan esta comprobación, como Firefox y otros.

Ante esto, Amazon, a partir del 24 de abril de 2018, registrará todos sus nuevos certificados en al menos dos registros de Certificate Transparency, así como todos aquellos certificados que sean renovados a partir de dicha fecha, a menos que el dueño del dominio deshabilite esta opción.

Si tienes dudas sobre la seguridad de tu cuenta de AWS con Itera, no dudes en contactarnos.