Certificate Transparency Checker para Mozilla Firefox

La iniciativa de Certificate Transparency viene impulsada desde el equipo de seguridad de Google y busca justo lo que el nombre pone: Que haya transparencia sobre los certificados digitales que se utilizan en conexiones seguras HTTPs. La idea es tan sencilla como crear repositorios en Internet llamados Logs, donde los dueños de los certificados que van a ser utilizados en servicios web de Internet puedan ser consultados, revisados y analizados. En definitiva, que cualquiera pueda ver la información de los certificados que se están utilizando.

Figura 1: Certificate Transparency Checker para Mozilla Firefox

La idea de esta tecnología es permitir que los analistas de seguridad puedan revisar, cuándo un certificado digital se da de alta en un Log, la información relativa al mismo, lo que evitaría tener que recurrir a los conocidos servicios de escaneo de sitios web en Internet que permiten accede a estos certificados con periodicidad – y de forma incompleta – por supuesto. Lo que se busca es que cualquier certificado pueda ser analizado por quien quiera y sirva para detectar ataques de Phishing, fallos de configuración o investigar la historia de un determinado certificado que fue utilizado en un incidente de seguridad.

Figura 2: Web del proyecto Certificate Transparency de Google

Cuando un certificado digital es subido a uno de los servidores Log – puede subirlo a múltiples servidores distintos para que exista mayor disponibilidad – recibe lo que se llama SCT (Signed Certifcate Timestamp) que lleva información del certificado, el servidor Log y la fecha a la que fue subido a dicho servidor Log.

Figura 3: Esquema de auditoría de Certificate Transparency con SCTs integrados en el certificado

Este SCT será enviado junto con el certificado digital para garantizar que el dueño de dicho certificado ha expuesto públicamente la información de este certificado para que haya transparencia sobre él y que cualquiera pueda evaluar su veracidad, robustez y cualquier otro detalle. Para que esto tenga valor, el navegador que utilice un cliente debe dar valor a la existencia o no de esta transparencia, y por ello Google Chrome va a comenzar a generar alertas de seguridad cuando un usuario se conecte a un sitio web que utilice un certificado digital del que no se haya podido verificar su publicación en un servidor de Logs de Certificate Transparency.

Figura 4: En los eventos de Google Chrome se puede ver la info de los SCT después de recibir el certificado.
Para ello, cuando se conecta a un sitio web HTTPs analizará el certificado digital para ver si éste trae la información de los SCT en los que ha sido publicado incrustados, o si vía OSCP o usando extensiones TLS se envían dichos SCT, que las tres opciones son válidas. Si es así, lo dará como publicado y sujeto a escrutinio público, por lo que no generará ninguna alerta, mientras que si no tiene SCTs válidos, entonces generará una alerta en futuras versiones del navegador – no por ahora -.

Figura 5: Esquema de Certificate Transparency con organizaciones que
monitorizan la emisión de certificados y auditan los certificados emitidos.

Se persigue luchar contra los certificados digitales robados o generados de manera fraudulenta que son utilizados en esquemas de Spear Phishing o APTs que generalmente solo son vistos por la víctima. De esta forma ahora, si la víctima utiliza Google Chrome recibirá una alerta cuando esos certificados estén fuera de los servidores de Log. Existen muchas dudas aún al respecto, pero lo cierto es que la fuerza que tiene Google con Chrome hará que se acabe imponiendo de una forma u otra, y por eso algunos navegadores van a comenzar a a tomarse en serio este sistema.
Certificate Transparency Checker en Mozilla Firefox

Nuestros compañeros del Laboratorio de ElevenPaths han estado haciendo cierto trabajo al respecto, y han lazando un Add-on para Mozilla Firefox llamado Certificate Tansparency Checker que evalúa los certificados digitales en busca de los SCT incrustados, ayudando a que esta información sea visible y útil dentro del navegador Mozilla Firefox.

Figura 6: Descarga de Certificate Transparency Checker para Mozilla Firefox

Para eso te la puedes descargar desde la web del laboratorio de ElevenPaths, e instalar el Add-on en tu navegador Mozilla Firefox. A partir de ese momento, podrás verificar si un determinado sitio web cumple o no con la especificación de Certificate Transparency como se puede ver en esta imagen.

Figura 7: Información de Certificate Transparency del certificado de ElevenPaths

En el siguiente vídeo se puede ver el proceso completo en un minuto, desde la descarga e instalación del add-on hasta la verificación de la información SCT contenida en un determinado certificado digital.

Figura 8: Explicación de Certificate Transparency Checker

En este caso, la información de SCTs que pudieran venir por extensiones TLS o por medio del protocolo OCSP quedan fuera del ámbito, así que, aunque el porcentaje de uso de TLS u OCSP para enviar info de Certificate Transparency es pequeño, podría estar cumpliendo la especificación y que con el plugin de Certificate Transparency Checker no se viera.

Saludos Malignos!

FUENTE
Par | 2017-04-12T09:25:25+00:00 avril 12th, 2017|Hacking|0 commentaire

Laisser un commentaire