Noticias y Alertas
Header

¿En manos de quién está la seguridad de Internet?

enero 18th, 2012 | Posted by kwelladm in Noticias
Por todos es sabido que la seguridad en las transacciones por Internet descansa en el protocolo SSL. Este protocolo basa su seguridad en un esquema PKI, en el que unas cuantas organizaciones están acreditadas para emitir certificados digitales que son la base del protocolo SSL.
 
En el año 2011, este esquema ha sido golpeado en varias ocasiones a raíz de los escándalos ‘Comodo’ y ‘Diginotar’, sendas CAs que fueron comprometidas y que emitieron certificados SSL fraudulentos que pusieron en entredicho la credibilidad de SSL.
 
Dado que, tal y como está diseñado el protocolo SSL, cualquier entidad reconocida que haya sido aprobada por Microsoft (Para Internet Explorer y Chrome en Windows) y Mozilla (Firefox) puede emitir un certificado digital que acredite la validez de un sitio web, es un ejercicio interesante saber quienes son esas entidades que actúan como garantes de la seguridad en Internet
 
Después de lidiar con la ‘peculiar forma’ en la que Windows gestiona los certificados digitales, he extraído un listado categorizado por País de las entidades que están reconocidas para emitir certificados SSL por Microsoft
En total he localizado 130 entidades de 45 países diferentes. Muchas de estas organizaciones tienen a su vez múltiples CAs reconocidas, pero el objeto de este estudio es conocer los nombres de las organizaciones y su procedencia.
 
Algunos datos curiosos:
  • Estados Unidos lidera claramente el número de organizaciones acreditadas (26)
  • España es el segundo país con más CAs acreditadas por Microsoft (11)
  • Tunez es el único país del magreb que tiene presencia acreditada (Turquía es el otro país musulmán acreditado)
  • China tiene 2 organizaciones capaces de emitir certificados SSL y dos más adscritas a Hong Kong y Macao (provincias con régimen especial)
  • Hay dos entidades acreditadas con sede en los paraísos fiscales de Bermudas y Singapur
  • Existen múltiples CAs acreditadas que están ligadas a entidades gubernamentales
Conclusiónes:
  • Estas 130 organizaciones son las que tienen potestad para certificar que www.google.com (o cualquier otro dominio bajo SSL) es quien dice ser.
  • Un compromiso en cualquiera de estas organizaciones podría derivar en otro ‘caso Comodo / Diginotar’
  • Si alguna de estas organizaciones operase de forma fraudulenta, podría actuar de forma impune colaborando en el seguimiento y monitorización gubernamental de ciudadanos
Metodología seguida para el estudio
 
Este estudio está basado en la información extraída del campo ‘issuer‘ de los certificados digitales. En algunos casos esta información no era del todo precisa (ausencia del campo C=(código país)) y se ha tenido que averiguar por otros medios. Así mismo se ha intentado agrupar las CAs de una misma organización, pero en algunos casos la información del campo issuer puede no ser 100% fiable ya que algunas organizaciones definen este campo de una forma poco legible. Por ello cabe asignar cierto margen de error a este estudio.
 
El primer paso realizar el estudio es ‘parsear’ el fichero authroot.stl donde se encuentra la información de las CAs acreditadas por microsoft, y descargar los certificados de dichas CAs.
 
Para ello ejecutamos este comando (plataforma Linux):
1
2
for i in `openssl asn1parse -inform der < authroot.stl | perl -ne '$a[0]=$a[1];$a[1]=$a[2];$a[2]=$a[3];$a[3]=$_;if (/1.3.6.1.4.1.311.10.11.29/) {$a[0]=~/.+:([0-9A-F]+)/; print $1 . "\n"}'`;
do wget http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/$i.crt; done
 
Lo que descargará todos los certificados digitales.
 
Posteriormente ejecutamos este script en Perl:
 
1
2
3
4
5
6
7
8
my @certs ;
@certs = `ls -1 *.crt` ;
 
foreach(@certs) {
 
my $issuer =`openssl x509 -noout -issuer -inform DER -in $_` ;
print "$issuer\n";
}
 
Que extrae el campo ‘issuer’ de los certificados digitales.
ORGANIZACIÓNPAÍS.D-Trust GmbHALEMANIA.Deutsche Telekom AGALEMANIA.

Deutscher Sparkassen VerlagALEMANIA.

TC TrustCenter for Security in Data NetworksALEMANIA.

TC TrustCenter GmbHALEMANIA.

eSign AustraliaAUSTRALIA.

Gatekeeper PKIAUSTRALIA.

ARGE DATEN – Austrian Society for Data ProtectionAUSTRIA.

Arge Daten Oesterreichische Gesellschaft fuer DatenschutzAUSTRIA.

Telekom-Control-KommissionAUSTRIA.

Certipost s.a.BELGICA.

GlobalSign nv-saBELGICA.

QuoVadis LimitedBERMUDAS.

Certisign Certificadora Digital LtdaBRASIL.

ICP-BrasilBRASIL.

Instituto Nacional de Tecnologia da InformacaoBRASIL.

Serasa S.ABRASIL.

InfoNotary PLCBULGARIA.

Echoworx CorporationCANADA.

Prvni certifikacni autorita a.s.CHEQUIA.

E-CERTCHILECHILE.

China Internet Network Information CenterCHINA.

UniTrustCHINA.

Certicamara S.A. Entidad de CertificacionCOLOMBIA.

Sociedad Cameral de Certificación DigitalCOLOMBIA.

Disig a.s.ESLOVAQUIA.

ACNLBESLOVENIA.

POSTAESLOVENIA.

sigov-caESLOVENIA.

State-institutionsESLOVENIA.

Agencia Catalana de CertificacioESPAÑA.

Agencia Notarial de Certificacion S.LESPAÑA.

Autoridad de Certificacion FirmaprofesionalESPAÑA.

Camerfirma S.AESPAÑA.

Colegio de Registradores de la Propiedad y Mercantiles de EspañaESPAÑA.

Consejo General de la AbogaciaESPAÑA.

DIRECCION GENERAL DE LA POLICIAESPAÑA.

FNMTESPAÑA.

Generalitat ValencianaESPAÑA.

IPS SeguridadESPAÑA.

IZENPE S.AESPAÑA.

Servicio de Certificacion del Colegio de RegistradoresESPAÑA.

AS SertifitseerimiskeskusESTONIA.

VRK GovFINLANDIA.

CertinomisFRANCIA.

CertplusFRANCIA.

DCSSIFRANCIA.

DhimyotisFRANCIA.

KEYNECTISFRANCIA.

ValiCert, IncFRANCIA.

Staat der NederlandenHOLANDA.

Hongkong PostHONG KONG.

Microsec LtdHUNGRIA.

NetLock Halozatbiztonsagi KftHUNGRIA.

NetLock KftHUNGRIA.

Trustis LimitedINGLATERRA.

UniTrustINGLATERRA.

Baltimore CyberTrust RootIRLANDA.

Post.Trust LtdIRLANDA.

ComSign Advanced SecurityISRAEL.

StartCom LtdISRAEL.

Actalis S.p.AITALIA.

Japan Certification Services, IncJAPON.

Japanese GovernmentJAPON.

LGPKIJAPON.

SECOM Trust SystemsJAPON.

Government of KoreaKOREA DEL SUR.

KISAKOREA DEL SUR.

Korea Certification Authority CentralKOREA DEL SUR.

Sertifikacijas pakalpojumu dalaLETONIA.

VAS Latvijas PastsLETONIA.

Skaitmeninio sertifikavimo centrasLITUANIA.

VI Registru CentrasLITUANIA.

Macao PostMACAO.

Autoridad Certificadora Raiz de la Secretaria de EconomiaMEXICO.

Secretaria de EconomiaMEXICO.

BuypassNORUEGA.

Unizeto Technologies S.APOLONIA.

SCEEPORTUGAL.

certSIGNRUMANIA.

Netrust Certificate AuthoritySINGAPUR.

South African Post Office LimitedSUDAFRICA.

Thawte ConsultingSUDAFRICA.

Western CapeSUDAFRICA.

AddTrust External TTP NetworkSUECIA.

CarelinkSUECIA.

TeliaSoneraSUECIA.

Admin **SUIZA.

SwisscomSUIZA.

SwissSign AGSUIZA.

WISeKeySUIZA.

Chunghwa Telecom CoTAIWAN.

Government Root Certification AuthorityTAIWAN.

TWCA Root Certification AuthorityTAIWAN.

Agence Nationale de Certification ElectroniqueTUNEZ.

ANCE WEBTUNEZ.

EBG Elektronik Sertifika HizmetTURQUIA.

Elektronik Bilgi Guvenligi A.STURQUIA.

TURKTRUST ElektronikTURQUIA.

ADMINISTRACION NACIONAL DE CORREOSURUGUAY.

ABA.ECOM, INCUSA.

AffirmTrustUSA.

America Online IncUSA.

Cybertrust, IncUSA.

DigiCert IncUSA.

Digital Signature Trust CoUSA.

Entrust, Inc.USA.

Equifax Secure IncUSA.

GeoTrust IncUSA.

GlobalSign Root CAUSA.

GoDaddy.com, IncUSA.

GTE CorporationUSA.

Microsoft CorporationUSA.

Network Solutions L.L.CUSA.

RSA Security IncUSA.

SecureTrust CorporationUSA.

Starfield Technologies, IncUSA.

thawte, IncUSA.

The Go Daddy Group, IncUSA.

The USERTRUST NetworkUSA.

U.S. GovernmentUSA.

ValiCert, IncUSA.

VeriSign, IncUSA.

VISAUSA.

Wells FargoUSA.

Xcert EZ by DSTUSA.

XRamp Security Services IncUSA.

Autoridad de Certificacion Raiz del Estado VenezolanoVENEZUELA.

Superintendencia de Servicios de Certificacion ElectronicaVENEZUELA

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario