es

Maneras de confiar en los identificadores de Internet

3 de abril de 2017

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

Las últimas novedades sobre buscador Chrome de Google que confiará en los certificados de seguridad de la capa de transporte emitida por Symantex (TLS) menos que en aquellos de las autoridades de certificación (CA), ha reinstarurado el debate sobre cómo se expresa la confianza a los usuarios de Internet. Los certificados para la TLS se utilizan a fin de confiar en la seguridad de los sitios web, pero la infraestructura de clave pública (PKI) de la web se basa en el hecho de que existen más de 100 CA, de las cuales cualquiera puede emitir certificados para autenticar un sitio web. El desafío es que, a fin de ser confiable, alguien debe especificar las reglas que rijan a todas las CA y aquellas que especifiquen cómo eliminar CA que no puedan cumplir con dichas reglas.

En las últimas dos décadas, los proveedores de navegadores como Mozilla (Firefox), Google (Chrome), Apple (Safari) y Microsoft (Internet Explorer y Edge) se han tenido que transformar en árbitros de la confiabilidad para las CA. Cada navegador cuenta con sus propias políticas para abordar a las CA que parecen no cumplir con los requisitos de confiabilidad, según cómo el proveedor del navegador desee proteger a sus usuarios. Los principales proveedores de navegadores y varias docenas de CA son miembros del Foro de Navegadores / Autoridades de Certificación. Este grupo crea sus "requisitos básicos" que describen las políticas que las CA debería adoptar, pero no supervisa a sus miembros. Por lo tanto, los proveedores de navegadores realizan por sí mismos la exigibilidad de la confiabilidad de las CA. Esto puede derivar en acciones de cumplimiento, tales como las restricciones que Google impuso sobre los certificados emitidos por Symantec, y, anteriormente, sobre los certificados emitidos por WoSign, certificados emitidos por Diginotar y otros.

¿Es el DNSSEC la respuesta?

Cuando surgen estos debates, a menudo, se habla de asegurar el Sistema de Nombres de Dominio mediante las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) como una posible alternativa a la PKI web basada en X.509 existente. A un alto nivel, la PKI Web protege la integridad del contenido de las páginas web, mientras que DNSSEC protege la integridad de los datos del DNS que pueden conducirnos a dichas páginas. Pero ambos sistemas poseen modelos fundamentalmente diferentes en relación a cómo confían sus datos. Una diferencia importante entre los dos sistemas es que la PKI web se basa en una lista de más de cien organizaciones, las cuales deben ser todas plenamente confiables, en tanto que el DNSSEC posee un solo anclaje de confianza global. Otra diferencia significativa es que la autenticación en la PKI web es efectuada por los navegadores que elija el usuario, en tanto que la autenticación del DNSSEC es llevada a cabo por los resolutores que la computadora del usuario elige utilizar.

El anclaje de confianza global único conlleva ventajas relacionadas con el DNSSEC. La comunidad de Internet exige una mayor transparencia en el manejo de la confianza en el DNS de la que tiene en la PKI web y la ICANN ha respondido a esto al dar lugar a un proceso sumamente abierto, transparente y responsable. Los representantes confiables de la comunidad tienen un rol activo en el mantenimiento de las claves criptográficas al participar en las ceremonias que se pueden ver en forma presencial o mediante grabaciones. Las comunidades técnicas contribuyen a moldear los procesos que rigen la cadena de confianza para el DNSSEC, lo que incluye contribuciones importantes al proceso que la ICANN está utilizando para actualizar o (implementar) la clave para la firma de la llave de la zona raíz (denominado traspaso de la KSK).

La PKI Web no desaparecerá en breve, pero es probable que la forma de interacción de los navegadores con las CA evolucione. En realidad, hay acciones en curso encaminadas a que la PKI web interactúe de mejor manera con el DNSSEC a través de una Autenticación Basada en el DNS de Entidades Nominadas, que confían en el DNSSEC. El Grupo de Trabajo sobre TLS del Grupo de Trabajo en Ingeniería de Internet (IETF) se encuentra trabajando para permitir que los clientes de TLS lleven a cabo la autenticación DANE del certificado del servidor TLS sin necesidad de realizar búsquedas de registros de DNS adicionales. Cuando se haya finalizado, esto podría conducir a un modelo de confianza híbrido interesante para los navegadores que tome en cuenta lo mejor del modelo de confianza del DNSSEC.

Las CA evolucionarán

Dada la magnitud de la PKI web y el número de actores poco conocidos en su núcleo, no resulta sorprendente que los usuarios de Internet se sigan preguntado cómo garantizar la confianza en el DNS. Los proveedores de navegadores tomarán incluso más medidas para mejorar la seguridad de sus usuarios. Conforme el DNSSEC se implemente de forma más amplia, parece posible que la utilización del DNSSEC para asegurar el DNS contribuya aún más a establecer la confianza necesaria para que los usuarios de Internet se comuniquen de manera segura.