LinuxParty

El Foro de Autoridades de Certificación/Navegadores es un grupo intersectorial que colabora para desarrollar los requisitos mínimos para los certificados TLS, según el blog de seguridad de Google . A principios de este mes, dos propuestas de la hoja de ruta de Google se convirtieron en prácticas obligatorias en los Requisitos Base del Foro de Autoridades de Certificación/Navegadores , mejorando así la seguridad y la agilidad de las conexiones TLS. Corroboración de Emisión Multiperspectiva.

Antes de emitir un certificado a un sitio web, una Autoridad de Certificación (AC) debe verificar que el solicitante controle legítimamente el dominio cuyo nombre se representará en el certificado. Este proceso se conoce como "validación de control de dominio" y existen varios métodos bien definidos que pueden utilizarse. Por ejemplo, una AC puede especificar un valor aleatorio para un sitio web y luego realizar una comprobación para verificar que el solicitante del certificado haya publicado dicho valor. 

A pesar de los requisitos de validación de control de dominio definidos por el CA/Browser Forum, una investigación revisada por pares, realizada por el Centro de Política de Tecnologías de la Información de la Universidad de Princeton y otros, destacó el riesgo de ataques al Protocolo de Puerta de Enlace Fronteriza (BGP) y secuestro de prefijos que resultan en certificados emitidos fraudulentamente. Este riesgo no era meramente teórico, ya que se demostró que los atacantes explotaron con éxito esta vulnerabilidad en numerosas ocasiones, y solo uno de estos ataques resultó en pérdidas directas de aproximadamente 2 millones de dólares. 

El Chrome Root Program dirigió un equipo de trabajo de participantes del ecosistema, que culminó en una votación del CA/Browser Forum para requerir la adopción de MPIC a través de la votación SC-067 . La votación recibió el apoyo unánime de las organizaciones que participaron en la votación. A partir del 15 de marzo de 2025, las CA que emiten certificados de confianza pública ahora deben confiar en MPIC como parte de su proceso de emisión de certificados. Algunas de estas CA confían en el Proyecto Open MPIC para garantizar que sus implementaciones sean robustas y consistentes con las expectativas del ecosistema... 

Linting
Linting se refiere al proceso automatizado de analizar certificados X.509 para detectar y prevenir errores, inconsistencias e incumplimiento de los requisitos y estándares de la industria. Linting garantiza que los certificados estén bien formateados e incluyan los datos necesarios para su uso previsto, como la autenticación de sitios web. Linting puede exponer el uso de algoritmos criptográficos débiles u obsoletos y otras prácticas inseguras conocidas, lo que mejora la seguridad general... La votación recibió el apoyo unánime de las organizaciones que participaron en la votación. A partir del 15 de marzo de 2025, las CA que emiten certificados de confianza pública deben confiar en el control de linting como parte de su proceso de emisión de certificados.

El análisis de linting también mejora la interoperabilidad, según la entrada del blog, y ayuda a reducir el riesgo de incumplimiento de los estándares que puede resultar en la emisión incorrecta de certificados. 

Además, próximamente, los métodos de validación de control de dominio débiles (actualmente permitidos por los Requisitos Base TLS del Foro de CA/Browser) estarán prohibidos a partir del 15 de julio de 2025.

"De cara al futuro, nos entusiasma explorar una PKI web renovada y un Programa Raíz de Chrome con garantías de seguridad aún más sólidas para la web a medida que avanzamos en la transición a la criptografía poscuántica".