Aquí tienes el contenido reescrito:
Las conexiones seguras son fundamentales en la web actual, pero la confiabilidad de un certificado depende de los procedimientos de validación y las prácticas de emisión que lo sustentan. Recientemente, el Programa Raíz de Chrome y el Foro de CA/Navegadores han tomado medidas significativas hacia una internet más segura al implementar nuevos requisitos de seguridad para los emisores de certificados HTTPS.
Estas iniciativas, impulsadas por las votaciones SC-080, SC-090, y SC-091, eliminarán 11 métodos obsoletos de Validación de Control de Dominio. Al descontinuar estos métodos antiguos, que se basan en señales de verificación más débiles como correos, llamadas telefónicas o correos electrónicos, se cierran potenciales vulnerabilidades a ataques, promoviendo un ecosistema de seguridad más automatizado y criptográficamente verificable.
Para facilitar la transición de los operadores de sitios web afectados, se implementará una descontinuación gradual, alcanzando un nivel óptimo de seguridad para marzo de 2028.
La meta es mejorar la seguridad modernizando la infraestructura y fomentando la agilidad a través de la automatización. Aunque la iniciativa «Avanzando Juntos» de Chrome marca la dirección deseada, las recientes actualizaciones de los Requisitos Base de TLS concretan esa visión en políticas, basándose en impulsores de principios de este año, incluyendo la exitosa promoción de la adopción de nuevas iniciativas de mejora de la seguridad como estándares para la industria.
¿Qué es la Validación de Control de Dominio?
La Validación de Control de Dominio es un procedimiento clave para garantizar que los certificados se emitan únicamente al operador legítimo del dominio. Esto previene que entidades no autorizadas obtengan un certificado para un dominio que no controlan. Sin esta verificación, un atacante podría conseguir un certificado válido para un sitio web legítimo y utilizarlo para hacerse pasar por dicho sitio o interceptar su tráfico.
Antes de emitir un certificado, una Autoridad de Certificación (AC) debe confirmar que el solicitante controla legítimamente el dominio. La mayoría de las validaciones modernas utilizan mecanismos de “desafío-respuesta”. Por ejemplo, una AC podría proporcionar un valor aleatorio que el solicitante debe ubicarse en un punto específico, como un registro DNS TXT, el cual luego la AC verifica.
Históricamente, otros métodos validaban el control a través de medios indirectos, como consultar información de contacto en registros WHOIS o enviar correos electrónicos a un contacto del dominio. Estos métodos han demostrado ser vulnerables (ejemplo), y las iniciativas recientes están sustituyendo estas comprobaciones menos rigurosas por alternativas más robustas y automatizadas.
Mejorando la seguridad
Las votaciones recientes del Grupo de Trabajo de Certificados de Servidor del Foro de CA/Navegador introducen un retiro gradual de los siguientes métodos de Validación de Control de Dominio. Los métodos alternativos existentes ofrecen mayores garantías de seguridad contra intentos de obtener certificados fraudulentos, y estos métodos alternativos son más robustos con el tiempo.
Métodos obsoletos que dependen del correo electrónico:
Métodos obsoletos que dependen del teléfono:
Método obsoleto que depende de una búsqueda inversa:
Para los usuarios comunes, estos cambios pasarán desapercibidos, y ese es el propósito. Sin embargo, en el trasfondo, se dificultará que los atacantes engañen a una CA para que emita un certificado para un dominio que no controlan.
Esto reduce el riesgo de que se abuse de señales obsoletas o indirectas (como datos WHOIS desactualizados o complejos ecosistemas de teléfono y correo electrónico). Estos cambios orientan al ecosistema hacia métodos de validación de control de dominio estandarizados (por ejemplo, ACME), modernos y verificables. Fomentan la agilidad y resiliencia al motivar a los propietarios de sitios web a adoptar métodos modernos de Validación de Control de Dominio, creando oportunidades para una gestión del ciclo de vida de los certificados más rápida y eficiente mediante la automatización.
Estas iniciativas eliminan vulnerabilidades que obstaculizan el establecimiento de confianza en internet, lo que resulta en una experiencia de navegación más segura para todos, no solo para los usuarios de un navegador, plataforma o sitio web en particular.
Fuente:
Google
Con Información de blog.segu-info.com.ar