Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Centro de Educación
    2. Foro de Autoridades de Certificación/Navegadores

¿Qué es el Foro CA/B?

Publicado porShruti Sharma 15 Minutos
Foro B
Tabla de contenido

El Foro CA/B es un grupo de Autoridades de Certificación (CA) líderes en tecnología (emisoras de certificados digitales), fabricantes de navegadores (como Chrome y Safari) y otras empresas tecnológicas. ¿Cuál es su misión? Establecer los estándares para la seguridad de sitios web y la comunicación en línea con certificados SSL/TLS.

Permíteme explicártelo en detalle. En términos más sencillos, con un ejemplo. En 2017, se descubrió que Symantec emitía certificados TLS sin la validación adecuada, lo que representaba riesgos de seguridad. Siguiendo las directrices del CA/B Forum, navegadores como Google y Mozilla revocaron los certificados de Symantec. Esto impidió que los atacantes explotaran los certificados emitidos incorrectamente y protegió los datos de los usuarios. 

Es posible que haya visitado un sitio web en el que el navegador muestra una advertencia que dice: "Este sitio web no es seguro".  

Foro CA / B

El Foro CA/B contribuye a una internet más segura estableciendo estándares para los certificados SSL y TLS. Estos estándares garantizan que los sitios web con el icono de un candado estén verificados y cifrados, lo que dificulta que los atacantes roben o alteren los datos de los usuarios. Sin embargo, son los navegadores los que imponen advertencias como "Este sitio web no es seguro". Estas advertencias aparecen cuando el certificado de un sitio web está caducado, no es válido o no está disponible. Si bien el Foro CA/B establece las reglas, los navegadores detectan y alertan a los usuarios según el estado del certificado.

Normas y directrices clave establecidas por el Foro CA/B

La implementación de las directrices y estándares es algo que no podemos alterar en materia de seguridad. Es importante seguir las reglas, directrices y estándares establecidos por el Foro CA/B. A continuación, analizaremos algunos de los principales requisitos del Foro.    

  • Requisitos básicos para certificados SSL/TLS

    El CA/B Forum establece estándares para los certificados SSL/TLS, siendo la transparencia de los certificados un requisito clave. La transparencia de los certificados implica registrar cada certificado emitido en bases de datos públicas, lo que permite a cualquier persona supervisar los certificados de un dominio específico. Esto ayuda a detectar certificados no autorizados o mal emitidos y permite a los propietarios de sitios web revocarlos rápidamente, evitando el uso indebido y mejorando la seguridad general.
    Esta iniciativa es una colaboración entre navegadores, Google y el Foro CA/B. Si bien el Foro establece las directrices, los navegadores garantizan la protección de los usuarios al marcar los certificados comprometidos, caducados o no confiables. La transparencia de los certificados desempeña un papel fundamental para una web más segura, al ofrecer una forma abierta y accesible de verificar la legitimidad de los certificados.
     Obtenga más información sobre los requisitos básicos del foro CA/B en aquí.

  • Otros requisitos

    El Foro CA/B cuenta con grupos de trabajo que crean estándares para la comunicación segura, incluyendo la firma de código, S/MIME y la seguridad de red. También exige protocolos como el Protocolo de Estado de Certificados en Línea (OCSP) y las Listas de Revocación de Certificados (CRL). Estos garantizan la identificación y revocación en tiempo real de los certificados comprometidos. Por ejemplo, si un certificado se usa indebidamente o se ve comprometido, el OCSP garantiza su invalidación inmediata, lo que reduce el riesgo de ataques con certificados revocados.

  • Directrices de validación extendida (EV)

    El Foro CA/B introdujo las directrices de Validación Extendida (EV) en 2007 para exigir una verificación más estricta a los solicitantes de certificados. Este proceso ayudó a los sitios web a generar confianza con los usuarios al confirmar su identidad. Los certificados EV fueron utilizados especialmente por bancos y otras organizaciones que gestionaban datos confidenciales de usuarios, ofreciendo la garantía de que el sitio web estaba verificado.
    Sin embargo, la mayoría de los navegadores ya no resaltan los indicadores específicos de EV, como mostrar los nombres de empresas en las barras de direcciones, debido a su limitado impacto en el comportamiento del usuario. Como resultado, la importancia práctica de los certificados EV se ha reducido. A pesar de esto, el proceso de validación más estricto sigue siendo importante para garantizar una mayor seguridad para los sitios web y sus usuarios. Los certificados EV ofrecen un mayor nivel de confianza, lo que facilita a los usuarios identificar sitios legítimos y los protege de ataques de phishing. Puede obtener más información sobre el tema en los sitios mencionados a continuación.
    Versión actual: Directrices del certificado de servidor EV TLS 2.0.1.
    Otras versiones: Documentos de validación

  • Algoritmos criptográficos más fuertes

    El Foro ha trabajado para promover el uso de algoritmos criptográficos más robustos, eliminando los obsoletos y mejorando la seguridad en internet. Esto incluye la transición de algoritmos como SHA-1 a SHA-256 para las firmas de certificados, lo que mejora significativamente la solidez del cifrado. El Foro también colabora con líderes de la industria en criptografía poscuántica para abordar las nuevas amenazas derivadas de los avances informáticos, como las computadoras cuánticas. El NIST ya ha seleccionado varios. PQC Algoritmos para prepararse ante las futuras amenazas que plantean las computadoras cuánticas. Por ejemplo, se ha elegido CRYSTALS-Kyber para el intercambio seguro de claves, y CRYSTALS-Dilithium para las firmas digitales. Estos algoritmos están diseñados para resistir ataques de computadoras cuánticas, que podrían vulnerar los métodos de cifrado tradicionales.
    Es probable que el Foro CA/B se sume a estos esfuerzos para orientar a las autoridades de certificación (CA) y a los proveedores de navegadores en la adopción de estos nuevos algoritmos. Esta colaboración contribuirá a garantizar la seguridad de los certificados digitales y los métodos de cifrado en el futuro.
    Un ejemplo reciente de la utilidad de estos estándares es la decisión de grandes empresas como Google y Microsoft de eliminar por completo los certificados SHA-1. Esta medida reforzó significativamente la seguridad de millones de sitios web, previniendo posibles ataques como el observado en 2017, cuando los atacantes aprovecharon las vulnerabilidades de los certificados SHA-1 para falsificar certificados SSL/TLS. Al adoptar métodos de cifrado más robustos, las empresas pueden proteger los datos de sus usuarios y evitar vulnerabilidades similares. Aquí puede consultar las directrices establecidas por el foro CA/B para desarrolladores: Pautas para desarrolladores.

  • Requisitos de seguridad del sistema de certificación y de red

    El Foro de CA/Navegadores también estableció un conjunto de Requisitos de Seguridad para Redes y Sistemas de Certificados. Estos requisitos establecen las medidas de seguridad que las CA deben adoptar para proteger la infraestructura que emite certificados y garantizar la seguridad de estos. Por ejemplo, tras la filtración de DigiNotar en 2011, que comprometió su sistema de emisión de certificados, el Foro introdujo directrices más estrictas para prevenir este tipo de incidentes.
    Versión actual: Requisitos del sistema de red y seguridad.
    Enlaces de versiones anteriores: Versión anterior de los requisitos.

  • Alineación con los estándares NIST y FIPS

    El CA/Browser Forum, el NIST y el FIPS colaboran para fortalecer la seguridad en internet, especialmente en los certificados digitales. El CA/Browser Forum exige métodos de cifrado robustos para proteger los certificados digitales. Estos métodos deben cumplir con el estándar FIPS 140-2 del NIST, que establece las reglas sobre cómo gestionar el cifrado de forma segura. Esto garantiza que los certificados emitidos se basen en las mejores y más seguras prácticas de cifrado. Requisitos del NIST para... Módulos criptográficos.
    Ahora bien, al comparar estos requisitos con los del foro CA/B para los módulos criptográficos, comprenderá cómo ambos se complementan. De igual manera, para la gestión de claves, las directrices del NIST, como la SP 800-57, se alinean con los requisitos del foro para almacenar y proteger de forma segura las claves privadas. Esto ayuda a prevenir la vulneración de claves, un riesgo crítico para la integridad de los certificados. Aquí tiene el enlace donde puede consultar las directrices del NIST. Requisitos de gestión de claves.

  • Requisitos de firma de código del foro CA/B

    Si se pregunta sobre el alcance del foro CA/B, podría sorprenderse. El foro CA/Browser también trabaja eficientemente con los certificados de firma de código. Estos se utilizan para garantizar la integridad y el origen del software descargado de internet. Por ejemplo, Microsoft utiliza certificados de firma de código para verificar las actualizaciones de Windows, protegiendo a los usuarios de la instalación de software malicioso camuflado en actualizaciones legítimas. Estas directrices mejoran la seguridad al proteger contra software malicioso y garantizar que los usuarios descarguen programas seguros y verificados. Debe leer sobre esto: aquí.

  • Reducción de los períodos de validez de los certificados SSL/TLS

    El Foro CA/B introdujo periodos de validez más cortos para los certificados SSL/TLS debido a la preocupación por la seguridad de los certificados y sus posibles vulneraciones. Este anuncio buscaba reducir el riesgo de que los certificados se vieran comprometidos con el tiempo. Acortar el periodo de validez permite una renovación más rápida y un mejor seguimiento de los certificados.
    Por ejemplo, la reducción de los periodos de validez ayudó a Apple a adoptar rápidamente algoritmos seguros en todo su ecosistema, garantizando así la rápida sustitución de los certificados comprometidos u obsoletos. La adopción de certificados de 90 días por parte de Google ha reforzado aún más la seguridad, reduciendo el riesgo de vulneración de claves. Puede obtener información sobre cómo realizar una transición fluida y trabajar en la validez de los certificados SSL/TLS en el siguiente enlace: Consultoría de cifrado Certificados de 90 días de Google.

El impacto del CA/Browser Forum en la seguridad de Internet

El CA/Browser Forum es una organización que ayuda a mejorar la seguridad en internet mediante la creación de normas que rigen la emisión y el uso de certificados digitales. Las directrices del foro garantizan que solo organizaciones confiables puedan obtener estos certificados. Esto ayuda a reducir la probabilidad de que se utilicen certificados falsos y mantiene a los usuarios seguros mientras navegan por internet. 

Una de las principales formas en que el Foro ayuda es protegiendo contra Hombre en el medio Ataques. Estos ataques ocurren cuando los hackers intentan interceptar y robar datos compartidos entre un usuario y un sitio web. El Foro necesita que todos los sitios web utilicen cifrado. El cifrado codifica los datos para que nadie que no esté autorizado a verlos pueda leerlos. Esto dificulta considerablemente que los hackers roben o manipulen la información durante estos ataques. 

El Foro también ayuda a prevenir filtraciones de datos al promover una gestión adecuada de los certificados. Los certificados ayudan a controlar quién puede acceder a información confidencial. Cuando se gestionan correctamente, es más difícil que personas no autorizadas accedan a datos privados. Esto es importante para mantener la información personal y empresarial a salvo de los ciberdelincuentes.

Riesgos de no seguir correctamente las directrices del Foro CA/B

Imagine una situación en la que no sigue las directrices del Foro CA/B; esto tendrá graves repercusiones. El incumplimiento de las directrices del Foro CA/B puede provocar diversas ciberamenazas. A continuación, analizaremos algunos de los ciberataques más comunes y sus consecuencias en situaciones en las que no se siguieron correctamente las directrices del Foro CA/B.    

1. Violaciones de datos y vulnerabilidades de seguridad

Sin una gestión estricta de certificados, su información confidencial podría estar expuesta a ciberataques como phishing, suplantación de certificados o ataques del tipo "man-in-the-middle" (MITM).    

  • Violación de datos de Equifax (2017)

    • Una de las mayores filtraciones de datos de la historia, que afectó a 147 millones de personas, se debió en parte a un certificado SSL caducado. Este certificado impidió la inspección del tráfico cifrado en un servidor interno, lo que imposibilitó la detección de una filtración de datos que duró 76 días. Esta falla expuso información personal confidencial, como números de la Seguridad Social y datos financieros.
    El cumplimiento de las directrices del Foro CA/B sobre la gestión del ciclo de vida de los certificados, incluyendo la monitorización y renovación automatizadas de los certificados SSL, podría haber evitado este fallo. Las organizaciones deben realizar un seguimiento y renovar activamente los certificados para mantener el cifrado y garantizar que las herramientas de seguridad de red funcionen correctamente.

  • Certificados Symantec emitidos incorrectamente por Google (2017)

    • Google descubrió que los certificados SSL emitidos por Symantec no cumplían con los estándares del Foro CA/B. Las CA de Symantec emitieron incorrectamente más de 30 000 certificados sin la validación adecuada, infringiendo así los requisitos básicos para la emisión de certificados. Como consecuencia de este incidente, Google y Mozilla anunciaron que desconfiarían gradualmente de los certificados emitidos por Symantec.
    Para prevenir este tipo de incidentes, las organizaciones también deben supervisar a sus CA para garantizar que cumplan con las directrices establecidas. En este caso, una supervisión más estricta de los procesos de validación de Symantec y el cumplimiento de las normas del Foro podrían haber evitado la emisión incorrecta. Tras descubrirse el problema, los estándares del Foro CA/B sentaron las bases para que navegadores como Google y Mozilla exigieran responsabilidades a Symantec, reduciendo gradualmente la confianza en certificados emitidos incorrectamente y garantizando una mayor seguridad en el futuro.

2. Desconfianza del usuario

Si los certificados no se gestionan correctamente, los navegadores pueden mostrar advertencias, lo que hace que los usuarios pierdan la confianza en su sitio web o marca. Por lo tanto, siempre debemos seguir las directrices del foro CA/B para mantener la confianza del usuario. Veamos un fallo similar ocurrido en 2011.

  • Incumplimiento de DigiNotar (2011)

    • En 2011, unos exploits comprometieron a DigiNotar, una autoridad de certificación de confianza, y emitieron certificados SSL falsos para dominios importantes como Google. Estos certificados se utilizaron en un ataque de intermediario, lo que provocó una importante brecha de seguridad. El incidente provocó que los navegadores revocaran la confianza en los certificados de DigiNotar, lo que finalmente provocó el colapso de la empresa.
    Este caso destaca la importancia de seguir las directrices del Foro CA/B, como garantizar la seguridad de los sistemas de CA, validar cuidadosamente las solicitudes de certificados y utilizar los registros de transparencia de certificados para detectar certificados no autorizados. Si se hubieran seguido estas prácticas, el ataque podría haberse detectado y prevenido, preservando así la confianza de los usuarios y la credibilidad de DigiNotar.

3. Fallas de cumplimiento

El incumplimiento de estas normas podría conllevar el incumplimiento de las regulaciones establecidas para las industrias, lo que puede resultar en multas y sanciones. Por lo tanto, es importante analizar algunos ejemplos y el impacto de una falla de cumplimiento.  

  • Incidente de Trustico (2018)

    • En 2018, Trustico, un revendedor de certificados SSL, gestionó incorrectamente las claves privadas almacenándolas de forma insegura. Al compartir las claves privadas por correo electrónico con DigiCert, infringió los requisitos del CA/B Forum para la gestión segura de claves. Esto generó considerables preocupaciones sobre la seguridad de los certificados y llevó a DigiCert a revocar más de 23 000 certificados SSL emitidos a través de Trustico.
    Este incidente pone de relieve la importancia de adherirse a las directrices del Foro CA/B, que exigen el almacenamiento y la gestión seguros de las claves privadas para evitar el acceso no autorizado. Si Trustico hubiera seguido estas normas, se podría haber evitado la vulneración, manteniendo la confianza de los usuarios y evitando revocaciones masivas que afectaron a las empresas que dependen de dichos certificados.

Gestión de certificados

Evite interrupciones de certificados, optimice las operaciones de TI y logre agilidad con nuestra solución de gestión de certificados.

Solicitar demostración

Mejores prácticas para mitigar riesgos y garantizar el cumplimiento del Foro CA/B

Al seguir las mejores prácticas, podemos mitigar eficazmente los riesgos y fortalecer la seguridad de nuestra organización. Además, estas mejores prácticas nos permiten mantenernos regulados y relevantes en el mundo de la tecnología.    

1. Automatizar la gestión de certificados

La automatización de la gestión de certificados es una parte esencial de esto. El uso de herramientas como Administrador de CertSecure Puede ayudar a automatizar la renovación y la supervisión de los certificados SSL. Esto garantiza que los certificados estén siempre actualizados y no caduquen sin previo aviso. Además, protocolos como ACME, utilizado por Let's Encrypt, automatizan la emisión y renovación de certificados SSL/TLS, lo que contribuye a mantener la seguridad y el cumplimiento normativo. 

Por ejemplo, una empresa que automatiza su proceso de renovación de certificados evitará las advertencias de seguridad en su sitio web y mantendrá la confianza de sus usuarios. Sin automatización, los certificados caducados pueden provocar que los navegadores muestren advertencias de seguridad, lo que puede provocar que los usuarios abandonen el sitio, afectando tanto a la empresa como a su reputación. 

2. Auditorías y seguimiento periódicos

Audite los certificados periódicamente para garantizar el cumplimiento normativo e identificar rápidamente posibles vulnerabilidades o certificados caducados. ¿Alguna vez has perdido la pista de todas las aplicaciones instaladas en tu teléfono? Algunas pueden ser antiguas o estar sin usar, pero siguen ahí, ocupando espacio o incluso causando problemas. Lo mismo ocurre con tus certificados.

3. Siga estándares de cifrado estrictos

Cumplir con los últimos requisitos de cifrado, como 2048-Claves de bits para RSA, para garantizar una seguridad robusta. Imagina que tu Wi-Fi no tiene contraseña. Cualquiera cercano podría acceder y manipular tu conexión. Eso es lo que ocurre cuando las empresas utilizan un cifrado débil. Por lo tanto, al igual que las contraseñas Wi-Fi seguras, también debemos usar claves SSL potentes, que crean cerraduras digitales ultrarresistentes.    

4. Implementar control de acceso basado en roles (RBAC)

Implementar el Control de Acceso Basado en Roles (RBAC) es un paso importante para gestionar la seguridad de los certificados y garantizar el cumplimiento de los estándares del CA/B Forum. Al restringir el acceso a las tareas de gestión de certificados según los roles de usuario, el RBAC reduce el riesgo de cambios no autorizados y mejora la seguridad. Esto garantiza que solo el personal autorizado pueda modificar, renovar o supervisar los certificados, evitando así alteraciones accidentales o maliciosas. 

Herramientas como la nuestra Administrador de CertSecure (Herramienta de gestión de certificados) y nuestra CodeSign seguro (Herramienta de firma de código) facilita la implementación eficaz de RBAC en su flujo de trabajo actual. CertSecure Manager le permite automatizar la renovación y la supervisión de certificados a la vez que aplica RBAC, garantizando que solo las personas adecuadas tengan acceso a las funciones críticas de gestión de certificados. CodeSign Secure garantiza que solo los usuarios de confianza puedan firmar código de software, lo que previene la manipulación. Estas prácticas no solo ayudan a mitigar los riesgos de seguridad, sino que también se alinean con las mejores prácticas de CA/B Forum, lo que garantiza que su organización mantenga el cumplimiento normativo y la seguridad. 

5. Plan de respuesta a incidentes

En caso de un problema de seguridad, tiene un plan para revocar rápidamente los certificados comprometidos y reemplazarlos por otros nuevos, lo que limita el daño en caso de un problema de seguridad.     

Una startup tecnológica sufrió el robo de su certificado SSL/TLS y estuvo bloqueada durante días sin un plan. Tuvieron dificultades para revocar el certificado comprometido y reemplazarlo rápidamente, lo que provocó importantes interrupciones en sus servicios. Para evitarlo, las empresas deberían automatizar la revocación y el reemplazo de certificados mediante herramientas como CertSecure Manager o los protocolos ACME. Por ejemplo, CertSecure Manager puede revocar instantáneamente un certificado comprometido y emitir uno nuevo, lo que minimiza el tiempo de inactividad e impide que los hackers aprovechen el certificado robado. Este enfoque garantiza la seguridad y la fluidez de las operaciones durante emergencias. 

¿Cómo puede ayudar la consultoría de cifrado? 

Con una amplia experiencia en seguridad y cumplimiento normativo, capacitamos a las organizaciones para abordar las complejidades de las directrices del Foro CA/B y, al mismo tiempo, mitigar los riesgos relacionados con los certificados. Las empresas pueden optimizar la gestión de sus certificados mediante herramientas como Administrador de CertSecureAutomatizamos la renovación de certificados y auditamos periódicamente sus sistemas para identificar vulnerabilidades. También ayudamos a implementar políticas de seguridad, como el Control de Acceso Basado en Roles (RBAC), que garantiza que solo los usuarios autorizados puedan administrar los certificados. 

Como parte de nuestro compromiso con el fortalecimiento de la seguridad, recomendamos utilizar criptografía de curva elíptica (ECC) para SSL / TLS Certificados. ECC Ofrece el mismo nivel de seguridad que el RSA tradicional con tamaños de clave más pequeños, lo que lo hace más eficiente y consume menos recursos, lo cual es especialmente beneficioso para dispositivos móviles y del IoT. Además, apoyamos la descontinuación de cifrados débiles como RC4 y 3DES en comunicaciones SSL/TLS en alineación con Foro CA / B Recomendaciones, garantizando que las organizaciones adopten prácticas de cifrado modernas para mejorar la seguridad. A través de nuestras soluciones como Firma de código y el servicios San Pancho HSM como servicio, el PKI como servicioAyudamos a las empresas a generar confianza con sus usuarios manteniendo los más altos estándares de cifrado. 

Conclusión  

Seguir las directrices del Foro CA/B es crucial para mantener la seguridad y la confianza de los certificados digitales. Automatizar la gestión de certificados, utilizando cifrado más fuerte como ECC, y asegurarse de que los certificados comprometidos se revoquen rápidamente ayuda a prevenir riesgos. Herramientas como Administrador de CertSecure y el CodeSign seguro Facilitar a las organizaciones el cumplimiento normativo y la protección de su software. Al seguir estas prácticas, las empresas pueden mantener sus sistemas seguro y generar confianza con sus usuarios. 

Explorar

Más temas