Para algunas personas el 30 de mayo de 2020 será una fecha para recordar; este día muchas cosas dejaron de funcionar, especialmente sitios web y los sistemas de filtrado de contenido de las organizaciones. Esto es especialmente importante debido a la situación actual de las cosas, donde la situación de pandemia ocasiona por COVID-19, hace que la sociedad dependa en gran medida del Internet para mantenerse, no solo informada, sino para retener trabajos que pueden realizarse de manera remota.
Además de los problemas que se detectaron localmente en Panamá, especialmente en el sector gobierno, donde más y más tramites han sido pasados a modalidad en línea, en tiempo record; también se dieron afectaciones a nivel mundial; por ejemplo, algunos canales de televisión que se transmiten sobre la plataforma de Roku[1], dejaron de funcionar, sin mayor pista sobre que podía estar sucediendo.
Existen múltiples reportes del impacto de esta expiración, a continuación, algunos ejemplos:
- https://www.theregister.com/2020/06/02/sectigo_root_cert_expires/
- https://forum.fortinet.com/tm.aspx?m=186679
- https://www.agwa.name/blog/post/fixing_the_addtrust_root_expiration
Aunque este incidente tuvo un alto impacto, esto no significa que el mismo no fuera conocido con antelación. Existen múltiples instancias donde se advierte la expiración de los certificados afectadas, desde el 2019, algunos artículos relacionados a continuación.
- https://sectigo.com/resource-library/sectigos-addtrust-root-is-soon-to-expire-what-you-need-to-know
- https://it.ucsf.edu/status/2020-05-14/addtrust-external-ca-root-certificate-will-expire-may-30th-2020
- https://calnetweb.berkeley.edu/calnet-technologists/incommon-sectigo-certificate-service/addtrust-external-root-expiration-may-2020
- https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020
- https://www.cmu.edu/iso/service/cert-auth/addtrust.html
La pregunta lógica ante esta situación es ¿Por qué no sabíamos de esto antes y se tomaron las medidas apropiadas?. Aunque pueden existir múltiples respuestas a esta pregunta y la misma podría generar un intercambio negativo de culpas entre los equipos de desarrollo, operaciones y seguridad, dentro de las organizaciones de TI; lo cierto es que la respuesta es sencillamente que el contexto del tiempo donde se desarrollan las actividades relacionadas con cifrado, supera a los individuos.
En resumen, si la organización no cuenta con procesos robustos de administración de cifrado, lo más probable es el que problema se repita en el futuro. La razón por la cual se requieren procesos puntuales para gestionar el cifrado dentro de las organizaciones privadas o publicas es muy simple: los procesos que gobiernan el esquema de cifrado de llave publica, utilizan ciclos de tiempo muy amplios (20 o 30 años). Esto es más tiempo de lo que muchas personas permanecen en una organización.
Para que el cifrado SSL/TLS funcione, el servidor presenta un certificado SSL al cliente: una aplicación como un explorador web o un dispositivo. Si un certificado de servidor se acerca a su expiración, el administrador del sistema puede renovarlo fácilmente. Sin embargo, para que el cliente “confíe” en cualquier certificado presentado como válido, los navegadores web, las aplicaciones y los dispositivos vienen equipados con un conjunto de certificados raíz preinstalados emitidos por una entidad certificadora (CA) de confianza.
Ahora, esos certificados raíz tienen fechas de caducidad significativamente más largas que los certificados de servidor – hasta 20 o 25 años, pero tarde o temprano, que, al igual que los mortales, expirarán.
En un post a su blog, el investigador de seguridad Scott Helme dijo: “Este problema se demostró perfectamente recientemente, el 30 de mayo a las 10:48:38 GMT para ser exactos. Esa hora exacta fue cuando el certificado raíz de CA externa AddTrust expiró y trajo consigo los primeros signos de problemas que he estado esperando durante algún tiempo.”
“Estamos llegando a un punto en el tiempo donde hay muchos de certificados raíz de entidades certificadoras (CA) que expiran en los próximos años simplemente porque han pasado más de 20 años desde que la web cifrada realmente se inició y esa es la vida útil de un certificado de CA raíz. Esto encontrara a muchas organizaciones con la guardia abajo de manera significativa”
-Scott Helme
Todo esto nos deja con un problema que enfrentar, que, aunque no es difícil de entender y prevenir, requiere vigilancia constante y atención al detalle, durante un tiempo muy prolongando, al tema de cifrado en Internet.
¿Porque el cifrado es importante?
Aunque al principio del siglo el argumento sobre el uso de SSL para asegurar sitios y servicios web orbitaba alrededor del impacto sobre los procesadores de los servidores, hoy en día estos y otros argumentos han prácticamente muerto, debido a los avances en el poder de procesamiento y la maduración de los servicios de nube.
La historia del uso de cifrado en internet y su importancia merecen un articulo por si solos, sin embargo, aquí pueden encontrar algunas referencias importantes:
- EFF – https://www.eff.org/https-everywhere/faq
- Internet Society – https://www.internetsociety.org/encryption/what-is-encryption/
Para entender un poco más sobre el uso de cifrado para asegurar sitios web (HTTPS) siempre se puede visitar el sitio https://whynohttps.com/ de Troy Hunt[1], donde explica, con cifras, el fenómeno de la adopción del cifrado en Internet.
Retos futuros del cifrado
Digamos que manejar la situación donde un sitio web se muestra como “no seguro” en el navegador de las personas es una realidad molesta, sin embargo, es algo manejable, debido a que siempre hay una persona utilizando el navegador, que puede realizar acciones para resolver la situación.
Ahora pensemos en los escenarios que no involucran personas, es decir, la comunicación entre máquinas o como se le conoce popularmente IoT (Internet of Things), que no es más que las Smart TVs, bombillas inteligentes, refrigeradores, estufas, hornos, máquinas de lavar, secadoras o un sistema de control complejo en las plantas generadores de electricidad. Estos dispositivos, si no son actualizados a tiempo, pueden perder toda conexión con Internet o con otros sistemas de los cuales dependan para funcionar y básicamente volverse inútiles; todo debido a un certificado digital expirado, que no fue actualizado en el dispositivo de manera oportuna.
Si tomamos en cuenta que en algunos casos los dispositivos pueden pasar desconectados de Internet por mucho tiempo, a veces años, y no recibir actualizaciones, el problema se complica aún más.
Realistamente hablando, un gadget inteligente puede pasar por períodos de inactividad prolongada que duran unas semanas o meses. Si el dispositivo es actualizado con poca frecuencia y su certificado de CA raíz caduca mientras está sin conexión, puede tener problemas para volver a conectarse a Internet cuando está activado.
Por ejemplo, una bombilla inteligente puede tener la capacidad de conectarse a Internet, pero puede necesitar una conexión segura a su servidor antes de que pueda recibir actualizaciones. Si esta bombilla inteligente hubiera sido previamente “desconectada” de Internet durante unos meses, y ahora ha transcurrido el período de gracia para actualizar su certificado de CA raíz, es posible que ya no pueda volver a conectarse a Internet a menos que se actualice manualmente si es posible.
La ironía de todo esto, es que incluso los dispositivos y gadgets más “modernos” no son lo suficientemente modernos, ya que no tienen en cuenta los últimos certificados raíz.
Para que los dispositivos inteligentes y los IoT sigan funcionando ininterrumpidamente y garanticen una experiencia de usuario fluida, las partes interesadas del sector, los socios y los competidores deben acordar un conjunto estándar de prácticas y cumplirlas. En 2020, hay pocas razones por las que algunos dispositivos todavía no reconocen los certificados raíz emitidos en 2012.
Si bien la aplicación regular de actualizaciones a sus dispositivos inteligentes es una solución obvia, puede que no sea tan evidente para el usuario final. Durante las actualizaciones regulares, los dispositivos inteligentes pueden descargar nuevos certificados de CA raíz para agregarlos a sus almacenes raíz.
Sobre mi interés en el tema de cifrado
A la fecha de publicación de este articulo, estoy ejerciendo el cargo presidente de la Junta Directiva del Capitulo de la Sociedad de Internet de Panamá (Internet Society). Una de las grandes iniciativas de esta organización mundial, sin fines de lucro, es la promoción, a través de la educación, del uso de cifrado en Internet debido a su rol en la generación de confianza en el uso de Internet, la protección de los usuarios de Internet y sus datos personales.
Pueden leer más sobre las iniciativas y acciones de Internet Society, en el tema de cifrado, en el siguiente URL: https://www.internetsociety.org/encryption/internet-community-stands-up-for-encryption/