Menéame: comentarios [2076572] http://www.meneame.net www.meneame.nethttp://www.meneame.nethttp://cdn.mnmstatic.net/img/mnm/eli-rss.png Sitio colaborativo de publicación y comunicación entre blogs Sat, 14 Dec 2013 10:08:56 +0000 http://blog.meneame.net/ es 13982472 2076572 1 sorrillo 2 34 https://www.meneame.net/story/proyecto-certificate-transparency-google #1 Proyecto Certificate Transparency de Google [ENG] https://www.meneame.net/story/proyecto-certificate-transparency-google/c01#c-1 Sat, 14 Dec 2013 10:08:56 +0000 sorrillo https://www.meneame.net/story/proyecto-certificate-transparency-google/c01#c-1 relacionada:

Google descubre que el gobierno francés utilizaba certificados falsos para espiar a los usuarios
www.meneame.net/story/google-descubre-gobierno-frances-utilizaba-certi

Google ya hace tiempo que está trabajando en una solución a este tipo de problemas y ataques. El proyecto se denomina "Certificate Transparency" y se basa en añadir una tercera comprobación a los certificados SSL.

Ahora se comprueba que:
1. El certificado ha sido emitido por una entidad certificadora de confianza y se corresponde con el sitio web o servicio al que accedemos.
2. El certificado no ha caducado y no está en la lista de certificados anulados.

La tercera comprobación sería esta:
3. El certificado está en la lista pública de certificados emitidos.

En caso que no esté en esa lista pública el certificado se consideraría inválido o bien se mostraría una alerta al usuario.

En el caso del meneo relacionado eso significaría que el Gobierno Francés se vería obligado a añadir en esa lista pública su certificado falso, permitiendo al propietario del dominio, en este caso Google, ver que existe un certificado que pretende suplantar su identidad e identificar cual es la entidad emisora de ese certificado. La NSA también se vería en la misma tesitura.

La lista pública de certificados emitidos no podría ser modificada ni se podría borrar un registro ya que los distintos registros estarían enlazados entre ellos, de forma que aparecería un "hueco" ahí donde se borró. Obviamente cualquiera podría mantener una copia constante y verificar que registro fue borrado.

Es una iniciativa que pretenden implantar primero en Google Chrome y esperan que se extienda y se estandarice.

Si la propuesta tiene adopción aquellas entidades certificadoras que decidieran no publicar sus certificados en la lista pública quedarían en evidencia y sería sencillo justificar que sus certificados no fueran considerados de confianza ni incluidos en los navegadores web y otros servicios que requieran de tal lista.

» autor: sorrillo

]]>