Últimamente ha habido cierta controversia sobre una actualización reciente que silenciosamente agregó 17 nuevos certificados raíz a Windows (y eliminó 1) sin alertar a los usuarios sobre el hecho, lo que llevó a algunos a llamar a todo el sistema "roto".

Por lo tanto, pensamos que era un buen momento para explicar qué son los certificados raíz y si los lectores deberían preocuparse ...

¿Qué es un certificado raíz??

Cuando visita un sitio web, ¿cómo sabe que es el sitio web que cree que está visitando? La respuesta de Internet a este problema son los certificados SSL (también conocidos como certificados HTTPS).

Cuando visita un sitio web seguro SSL (https: //), además de la conexión segura mediante el cifrado SSL / TSL, el sitio web le presentará a su navegador un certificado SSL que lo demuestra (o la propiedad más precisa de la clave pública del sitio web) ) ha sido autenticado por una Autoridad de certificación (CA) reconocida. Existen alrededor de 1200 de esas AC.

Si se presenta un navegador con un certificado válido, asumirá que un sitio web es genuino, iniciará una conexión segura y mostrará un candado bloqueado en su barra de URL para alertar a los usuarios de que considera que el sitio web es genuino y seguro..

Este sistema, que es la piedra angular de la seguridad en Internet, y se utiliza en casi todos los sitios web seguros que manejan información confidencial (incluidos bancos, servicios de correo web, procesadores de pagos, etc.), por lo tanto, confía en las CA.

Las Autoridades de Certificación emiten certificados basados ​​en una cadena de confianza, emitiendo múltiples certificados en forma de estructura de árbol a CAs menos autorizadas. Por lo tanto, una Autoridad de certificación raíz es el ancla de confianza en la que se basa la confianza en todas las CA menos autorizadas. Se utiliza un certificado raíz para autenticar una Autoridad de certificación raíz.

Entonces, ¿quién emite los certificados raíz??

En términos generales, los certificados raíz son distribuidos por desarrolladores de sistemas operativos como Microsoft y Apple. La mayoría de las aplicaciones y navegadores de terceros (como Chrome) usan los certificados raíz del sistema, pero algunos desarrolladores usan sus propios, especialmente Mozilla (Firefox), Adobe, Opera y Oracle, que son utilizados por sus productos..

Problemas con el sistema de CA

Por lo tanto, todo el sistema de CA depende de la confianza, entonces, ¿cómo sabe que se puede confiar en estos certificados? Bueno, al final del día tienes que confiar en alguien, y si confías en los desarrolladores del software que usas, entonces tienes que confiar en sus certificados.

Al menos esa es la teoría. Como lo demuestra una advertencia reciente de Google sobre certificados SSL falsos, solo una CA "no autorizada" que emite certificados no confiables puede causar estragos, y desafortunadamente las Autoridades de Certificación pueden (y se sabe que emiten) certificados falsos. El culpable habitual de esto es que los gobiernos sin escrúpulos ejerzan presión sobre las empresas de AC, pero los delincuentes también pueden fortalecer a las AC y los hackers pueden comprometer sus sistemas.

La Electronic Frontier Foundation (EFF) inició un proyecto de Observatorio SSL con el objetivo de investigar todos los certificados utilizados para proteger Internet, invitando al público a enviarle certificados para su análisis. Sin embargo, hasta donde sabemos, este proyecto nunca se puso en marcha y ha permanecido inactivo durante años..

Entonces, ¿por qué tanto alboroto sobre Microsoft "furtivamente" agregando certificados raíz?

Algunos comentaristas se han metido en un tizz sobre Microsoft agregando nuevos certificados raíz sin alertar a los usuarios o pedirles permiso. Sin embargo, debemos tener en cuenta que la gran mayoría de los usuarios (incluidos nosotros) no tienen una forma confiable de determinar si una autoridad de certificación raíz es confiable o no, lo que hace que esta disputa sea bastante inútil en nuestra opinión ...

Si no confía en Microsoft, no use Windows. Por supuesto, si te tomas en serio la seguridad, entonces realmente no deberías confiar en Microsoft de todos modos, y es muy probable que algunos de los certificados raíz ya enviados con Windows permitan a la NSA realizar ataques MitM en tu computadora si así lo desean. En teoría, esto podría dirigirlo a sitios web falsos que parecen genuinos para su navegador gracias a certificados SSL falsos.

Los que se toman en serio la seguridad deben usar Linux (y preferiblemente una distribución reforzada). También debe enfatizarse que ningún sistema operativo móvil puede considerarse en lo más mínimo seguro.

Por lo que vale, la lista de las nuevas Autoridades de certificación agregadas recientemente a la Lista de certificados de Microsoft nos parece bastante inofensiva (muchas son simplemente actualizaciones a certificados más antiguos), pero quién sabe?

Cómo eliminar un certificado raíz

Si realmente no le gusta una Autoridad de certificación raíz particular, puede eliminar su certificado raíz. Tenga en cuenta que al hacerlo, todos los certificados emitidos por esa Autoridad de Certificación no son confiables, así como todos los de las CA "menores" que haya autorizado. Eliminarlos puede tener un impacto muy negativo en su experiencia en Internet.

A raíz del reciente fiasco de certificados falsos de Google, algunas personas recomiendan eliminar las AC chinas. Sin embargo, destacamos que hacerlo es bajo su propio riesgo..

Ventanas

Estamos utilizando Windows 8.1, pero el proceso debería ser prácticamente el mismo en todas las versiones de Windows.

1. Haga clic derecho en el icono de Internet Explorer -> Ejecutar como administrador

2. Vaya a Herramientas (icono de engranaje en la parte superior derecha) -> opciones de Internet -> Pestaña de contenido -> Certificados -> Autoridades confiables de certificación raíz

3. Seleccione el certificado que desea eliminar y presione "Eliminar". Tenga en cuenta que probablemente sea una muy buena idea "Exportar" un certificado para la copia de seguridad primero, de modo que pueda "Restaurar" nuevamente más tarde si es necesario.

Firefox (solo versiones de escritorio)

1. Abra Firefox y vaya al menú Abrir -> Opciones -> Avanzado -> Certificados -> Ver certificados

2. En la ventana del Administrador de certificados, haga clic en la pestaña "Autoridades" y verá la lista de CA raíz autorizadas, junto con los certificados que han autorizado debajo de ellas

3. Haga clic en un certificado que no le guste y presione "Eliminar o desconfiar"

Presione OK si está seguro

Para eliminar por completo una CA raíz determinada, debe "Eliminar o desconfiar" de todos los certificados que haya autorizado. Al igual que con la eliminación de certificados raíz de Windows, recomendamos enfáticamente hacer una copia de seguridad de los certificados eliminados primero.

Mac OS X

No soy un usuario de Mac, pero, según tengo entendido, Apple no permite a los usuarios eliminar certificados raíz, incluso cuando usan privilegios de root. Los certificados no root se pueden eliminar con Keychain Access.

Androide (5.1 Lollipop, pero similar en todas las versiones)

1. Vaya a Configuración -> Seguridad -> Credenciales de confianza -> Pestaña del sistema. Toca la marca verde al lado del certificado que no te gusta

2. Desplácese hacia abajo por los detalles del certificado hasta la parte inferior y seleccione "Desactivar"

iOS

Los certificados raíz no se pueden eliminar en iOS (los certificados personales se pueden eliminar con la Utilidad de configuración de iPhone).

Ubuntu (será similar para la mayoría de las versiones de Linux)

La forma más sencilla de anular la selección de CA es abrir la Terminal y ejecutar:

sudo dpkg-reconfigure ca-certificados

Presione la barra espaciadora para anular la selección de un certificado.

La lista de CA se almacena en el archivo /etc/ca-certificates.conf. Esto se puede editar manualmente ingresando:

nano /etc/ca-certificates.conf

Si edita este archivo manualmente, debe ejecutar el siguiente comando para actualizar los certificados reales en / etc / ssl / certs /:

sudo update-ca-certificados

(Si usa dpkg-reconfigure, esto se hace automáticamente).