jueves, abril 06, 2017

Certificate Transparency Checker para Mozilla Firefox

La iniciativa de Certificate Transparency viene impulsada desde el equipo de seguridad de Google y busca justo lo que el nombre pone: Que haya transparencia sobre los certificados digitales que se utilizan en conexiones seguras HTTPs. La idea es tan sencilla como crear repositorios en Internet llamados Logs, donde los dueños de los certificados que van a ser utilizados en servicios web de Internet puedan ser consultados, revisados y analizados. En definitiva, que cualquiera pueda ver la información de los certificados que se están utilizando.

Figura 1: Certificate Transparency Checker para Mozilla Firefox

La idea de esta tecnología es permitir que los analistas de seguridad puedan revisar, cuándo un certificado digital se da de alta en un Log, la información relativa al mismo, lo que evitaría tener que recurrir a los conocidos servicios de escaneo de sitios web en Internet que permiten accede a estos certificados con periodicidad - y de forma incompleta - por supuesto. Lo que se busca es que cualquier certificado pueda ser analizado por quien quiera y sirva para detectar ataques de Phishing, fallos de configuración o investigar la historia de un determinado certificado que fue utilizado en un incidente de seguridad.

Figura 2: Web del proyecto Certificate Transparency de Google

Cuando un certificado digital es subido a uno de los servidores Log - puede subirlo a múltiples servidores distintos para que exista mayor disponibilidad - recibe lo que se llama SCT (Signed Certifcate Timestamp) que lleva información del certificado, el servidor Log y la fecha a la que fue subido a dicho servidor Log

Figura 3: Esquema de auditoría de Certificate Transparency con SCTs integrados en el certificado

Este SCT será enviado junto con el certificado digital para garantizar que el dueño de dicho certificado ha expuesto públicamente la información de este certificado para que haya transparencia sobre él y que cualquiera pueda evaluar su veracidad, robustez y cualquier otro detalle. Para que esto tenga valor, el navegador que utilice un cliente debe dar valor a la existencia o no de esta transparencia, y por ello Google Chrome va a comenzar a generar alertas de seguridad cuando un usuario se conecte a un sitio web que utilice un certificado digital del que no se haya podido verificar su publicación en un servidor de Logs de Certificate Transparency.

Figura 4: En los eventos de Google Chrome se puede ver la info de los SCT después de recibir el certificado.

Para ello, cuando se conecta a un sitio web HTTPs analizará el certificado digital para ver si éste trae la información de los SCT en los que ha sido publicado incrustados, o si vía OSCP o usando extensiones TLS se envían dichos SCT, que las tres opciones son válidas. Si es así, lo dará como publicado y sujeto a escrutinio público, por lo que no generará ninguna alerta, mientras que si no tiene SCTs válidos, entonces generará una alerta en futuras versiones del navegador - no por ahora -.

Figura 5: Esquema de Certificate Transparency con organizaciones que
monitorizan la emisión de certificados y auditan los certificados emitidos.

Se persigue luchar contra los certificados digitales robados o generados de manera fraudulenta que son utilizados en esquemas de Spear Phishing o APTs que generalmente solo son vistos por la víctima. De esta forma ahora, si la víctima utiliza Google Chrome recibirá una alerta cuando esos certificados estén fuera de los servidores de Log. Existen muchas dudas aún al respecto, pero lo cierto es que la fuerza que tiene Google con Chrome hará que se acabe imponiendo de una forma u otra, y por eso algunos navegadores van a comenzar a a tomarse en serio este sistema. 

Certificate Transparency Checker en Mozilla Firefox

Nuestros compañeros del Laboratorio de ElevenPaths han estado haciendo cierto trabajo al respecto, y han lazando un Add-on para Mozilla Firefox llamado Certificate Tansparency Checker que evalúa los certificados digitales en busca de los SCT incrustados, ayudando a que esta información sea visible y útil dentro del navegador Mozilla Firefox.

Figura 6: Descarga de Certificate Transparency Checker para Mozilla Firefox

Para eso te la puedes descargar desde la web del laboratorio de ElevenPaths, e instalar el Add-on en tu navegador Mozilla Firefox. A partir de ese momento, podrás verificar si un determinado sitio web cumple o no con la especificación de Certificate Transparency como se puede ver en esta imagen.

Figura 7: Información de Certificate Transparency del certificado de ElevenPaths

En el siguiente vídeo se puede ver el proceso completo en un minuto, desde la descarga e instalación del add-on hasta la verificación de la información SCT contenida en un determinado certificado digital.

Figura 8: Explicación de Certificate Transparency Checker

En este caso, la información de SCTs que pudieran venir por extensiones TLS o por medio del protocolo OCSP quedan fuera del ámbito, así que, aunque el porcentaje de uso de TLS u OCSP para enviar info de Certificate Transparency es pequeño, podría estar cumpliendo la especificación y que con el plugin de Certificate Transparency Checker no se viera.

Saludos Malignos!

6 comentarios:

Anónimo dijo...

no sale el icono azul donde ver el certificado, vamos que esta instalado pero no va
firefox en ubuntu linux

Chema Alonso dijo...

@Songo, solo se activa si el sitio tiene SCT. Lo has probado en elevenpaths.com??

Anónimo dijo...

es el primero que he probado ya que lo he descargado de alli hombre
lo he desinstalado lo he vuelto a instalar y sinceramente porque sois
vosotros sino pensaria q es una engañufla la verdad

en complementos me sale como instalado pero no sale el iconito azul ni ningun icono de la aplicación

Unknown dijo...

Hola Chema, lo he instalado pero no sale el icono de la extension al lado de los otros, uso win 10 la ultima version. Saludos y gracias

Anónimo dijo...

madre mia ahora directamente no me deja entrar en la pagina de elevenpaths
me sale esto
502 - Web server received an invalid response while acting as a gateway or proxy server.
There is a problem with the page you are looking for, and it cannot be displayed. When the Web server (while acting as a gateway or proxy) contacted the upstream content server, it received an invalid response from the content server.

que puedo hacer Sr. Maligno

Anónimo dijo...

Me contesto yo mismo: la app funciona perfectamete si tienes la configuracion del firefox normal, ahora bien si tienes puesto en privacidad navegación privada he instalas la app de eleven paths no sale el icono en la esquina superior derecha, probado y reprobado era eso solamente queria ponerlo por si alguien le pasa como a mi

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares