Los consumidores usan Internet para realizar operaciones bancarias, correos electrónicos, compras y mucho más hoy en día. Con tanta información personal y privada que se transmite a través de la Web, los usuarios de Internet deben poder confiar y confiar en los sitios a los que acceden. Por razones de seguridad,los sitios web usan certificados para establecer comunicaciones encriptadas. Cuando un sitio se ve comprometido, su certificado debe ser revocado.
Un nuevo estudio ofrece la primera evaluación de extremo a extremo del ecosistema de revocación de certificados de la Web, que incluye administradores de sitios web que obtienen y revocan certificados, autoridades de certificación que publican una lista de certificados revocados y navegadores que verifican la lista de revocación para autenticaruna página web.
Los resultados del estudio revelan que los administradores del sitio web están proporcionando una gran cantidad de certificados revocados, las autoridades de certificación no están utilizando procesos más nuevos para distribuir revocaciones y los navegadores web no están verificando si los certificados han sido revocados. Los resultados indican que todos los participantes en la revocaciónEl ecosistema debe mejorar su rendimiento para cumplir con sus responsabilidades y garantizar el éxito del sistema.
"Los hallazgos pintan una imagen sombría, porque los usuarios depositan una inmensa confianza en los navegadores que usan y en los sitios web que visitan para hacer lo necesario para proteger su seguridad", dice el coautor del estudio Dave Levin, asistente de investigacióncientífico del Instituto de Estudios Avanzados de Computación de la Universidad de Maryland.
Los resultados del estudio se presentarán el 29 de octubre de 2015 en la Conferencia de Medición de Internet de la Asociación de Maquinaria de Computación ACM IMC en Tokio. Levin realizó el estudio con investigadores de la Universidad de Stanford, la Universidad del Nordeste, la Universidad de Duke y Akamai Technologies.
La comunicación segura en línea requiere autenticación: la capacidad del usuario para determinar con quién se está comunicando. La clave para lograr la autenticación en la Web es un sistema conocido como Infraestructura de clave pública PKI, que consta de certificados y claves de cifrado.Si bien el uso en línea de la PKI está mayormente automatizado, el sistema requiere una cantidad sorprendente de intervención humana para mantener la validez de los certificados.
"La revocación de certificados es crítica para la seguridad de la Web, porque es la única forma de proteger a los usuarios de los atacantes que se hacen pasar por sitios web después de una violación de seguridad, como Heartbleed", dice Levin, refiriéndose a un error de seguridad generalizado descubierto en 2014.
Heartbleed permitió a los usuarios maliciosos capturar información que les daría la oportunidad de hacerse pasar por servidores de confianza y potencialmente robar información confidencial de usuarios desprevenidos. En un documento anterior, Levin mostró que pocos sitios web revocaron sus certificados comprometidos con Heartbleed y emitieron otros nuevos.
"Este documento se basa en mi trabajo anterior sobre la vulnerabilidad Heartbleed al preguntar: incluso si los sitios web revocan correctamente sus certificados, ¿los navegadores recibirán y verificarán los certificados?", Dice Levin. "Desafortunadamente, la respuesta abrumadora es no".
En el estudio actual, Levin y sus colegas investigaron el desempeño de los administradores de sitios web, las autoridades de certificación y los navegadores web en escenarios de la vida real.
Para evaluar qué tan bien los administradores del sitio web manejaron las revocaciones, el equipo analizó un conjunto de datos de varios años que incluyó 74 escaneos completos de Internet. Los investigadores encontraron que una fracción sorprendentemente grande de los certificados servidos, 8 por ciento, había sido revocada.sirviendo certificados revocados, los administradores del sitio web introducen agujeros de seguridad, dice Levin.
Luego, el equipo evaluó el desempeño de las autoridades de certificación, que generalmente distribuyen revocaciones a los navegadores web a través de archivos CRL que contienen listas de certificados revocados. El equipo descubrió que estos archivos pueden crecer a tamaños grandes, lo que ralentiza el navegador y usa másancho de banda cuando se descarga. Los resultados indican que los desarrolladores de navegadores pueden estar intercambiando seguridad para un mejor rendimiento, según Levin. El equipo también descubrió que las autoridades de certificación no han implementado ampliamente nuevas técnicas para distribuir revocaciones.
Finalmente, los investigadores investigaron 30 combinaciones diferentes de sistemas operativos y navegadores web, incluidos Chrome, Safari, Firefox e Internet Explorer, y descubrieron que ninguno de ellos verificó correctamente para ver si se revocan los certificados. Además, los navegadores móviles se ejecutanen las plataformas iOS y Android no se verificaron los certificados revocados.
"Si un navegador muestra el ícono de candado, los usuarios creen que la página es el sitio web que informa ser", dice Levin. "Y, sin embargo, nuestros resultados indican que los navegadores y los sitios web no están verificando los certificados de seguridad para asegurarse de que estoes verdad."
Levin dice que este estudio afectará los supuestos fundamentales sobre cómo funciona la PKI en la práctica.
"En el espacio de investigación, esperamos que esto afecte la forma en que otros sistemas que dependen de las revocaciones están diseñados para adaptarse mejor al comportamiento probable de los administradores", dice Levin.
Fuente de la historia :
Materiales proporcionado por Universidad de Maryland . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :