Las autoridades de certificación (CA, del inglés Certification Authority) son uno de los pilares fundamentales de la seguridad en internet. Su buena reputación las debe de preceder ya que en base a ella los equipos de millones de usuarios aceptan conexiones seguras con webs y servicios de todo tipo. Pero cuando se hace evidente que una CA no es de confianza, es hora de tomar medidas.
Es el caso de la autoridad de certificación china, que va a ser bloqueada por Google en sus productos y servicios. Eso incluye el navegador Chrome, que a partir de ahora mostrará una advertencia al intentar entrar en webs chinas cuyo certificado de seguridad dependa de la agencia gubernamental de China, el CNNIC.
El motivo no es otro que la ruptura de confianza en la gestión de la agencia. El pasado 20 de marzo Google detectó que se estaban distribuyendo certificados a nombre de varios dominios de Google por una autoridad de certificación intermedia perteneciente a MCS Holdings (con base de operaciones en Egipto), y cuyos certificados intermedios eran expedidos por el CNNIC.
MCS Holdings estaban instalando estos certificados en un servidor intermedio, por lo que el tráfico dirigido a ciertas webs de Google pasaba primeramente por ellos. Es un clásico ataque de man-in-the-middle o intermediario, por lo que de seguras esas conexiones tenían poco, ya que podía conocerse toda la información que un usuario enviaba a Google, incluidos sus nombres de usuario y contraseñas.
Este servidor proxy tenía los permisos para funcionar como una autoridad de certificación pública, por lo que no se requiere de la instalación de nada más por parte de los usuarios para aceptar sus certificados. Que una empresa gubernamental delegue de esta forma en una empresa privada la seguridad de los certificados y encima lo use para suplantar a los certificados reales de Google es un grave fallo de seguridad en si mismo.
La investigación de Google ha llevado al bloqueo de los certificados expedidos por CNNIC Root, para asegurar a los usuarios de sus productos que no deben temer porque una supuesta CA de primer nivel ponga fácil el que terceros se hagan con la información privada de millones de usuarios.
La agencia CNNIC ha asegurado en un comunicado que la medida de Google es desproporcionada, y le urge a que tenga en cuenta los derechos y necesidades de sus usuarios. Que una agencia gubernamental china hable de defender los derechos de sus ciudadanos es pura ironía.
Vía: Google.