Google, a través de su programa Chrome Root, sigue apostando por una web más segura. ¿Cómo? Pues implementando nuevas exigencias para los Certificados TLS (Transport Layer Security), esos que aseguran que la conexión entre tu navegador y la página web sea segura, mostrándote el famoso candadito.
Dos iniciativas clave, englobadas dentro de su visión “Moving Forward, Together”, se han convertido en requisitos obligatorios a partir del 15 de marzo de 2025. Estas iniciativas han sido adoptadas por el CA/Browser Forum, un grupo que establece los estándares mínimos para los certificados TLS.
¿De qué se trata? Corroboración Multi-Perspectiva (MPIC) y Linting de Certificados
Las nuevas exigencias se centran en dos pilares fundamentales:
- Corroboración Multi-Perspectiva de Emisión (MPIC): Evita la emisión fraudulenta de certificados mediante la verificación del control del dominio desde múltiples ubicaciones geográficas y proveedores de servicios de Internet.
- Linting de Certificados: Un análisis automatizado que detecta errores, inconsistencias y el uso de prácticas inseguras en los certificados X.509.
MPIC: Validando dominios desde diferentes puntos de vista
Cuando una Autoridad de Certificación (CA) emite un certificado para un sitio web, debe asegurarse de que quien lo solicita realmente controla el dominio. Esto se conoce como "validación del control del dominio". Sin embargo, investigaciones han demostrado que ataques como el secuestro de prefijos BGP pueden llevar a la emisión fraudulenta de certificados, con consecuencias económicas importantes.
MPIC (Multi-Perspective Issuance Corroboration) mejora la validación del dominio al verificarla desde diferentes ubicaciones y proveedores. Imagina que antes solo mirabas por una ventana, ahora tienes varias ventanas para asegurarte de que lo que ves es real.
Linting: Detectando errores antes de que causen problemas
El linting es como un control de calidad automatizado para certificados. Analiza los certificados en busca de errores, inconsistencias y vulnerabilidades, como el uso de algoritmos criptográficos obsoletos. Al detectar estos problemas antes de que un certificado entre en funcionamiento, se reduce el riesgo de "emisiones incorrectas" y sus consecuencias negativas.
Existen varias herramientas de linting de código abierto, como certlint, pkilint o zlint. Incluso hay "metalinters" como pkimetal que combinan varias herramientas para ofrecer una solución más completa y eficiente.
¿Qué nos depara el futuro?
El programa Chrome Root sigue evolucionando para mejorar la seguridad en la web. Recientemente, se ha actualizado su política para alinearla con los objetivos de "Moving Forward, Together". Además, Chrome ha propuesto eliminar métodos de validación de dominio débiles, prohibidos a partir del 15 de julio de 2025.
Google también está explorando nuevas vías para la seguridad web, preparándose para un futuro con criptografía post-cuántica. ¡La seguridad en la web es un esfuerzo constante y colaborativo!