Los certificados SSL son una de las bases en las que nos apoyamos para cifrar nuestro tráfico y realizar una navegación segura que permita intercambiar datos sensibles con un servicio web sin correr el riesgo de que los datos sean interceptados por un tercero. Para proceder al intercambio de datos, nuestro navegador verifica que el sitio web al que nos conectamos es legítimo y, con tal fin, verifica el certificado digital del sitio web para comprobar que el sitio es legítimo puesto que presenta un certificado firmado por alguna entidad reconocida. Las entidades certificadoras son un actor importante puesto que su firma garantiza que un certificado es válido y, por tanto, podemos confiar en él. Según parece, este sistema podría tambalearse porque la que fue una de las entidades certificadoras más importantes del mundo, VeriSign, habría sido víctima de un ataque en el año 2010 en el que se habría sustraído información de gran importancia.
Esta noticia es de gran impacto puesto que esta entidad certificadora ha emitido los certificados SSL de la gran mayoría de sitios web de la red y gestiona un parque enorme de dominios en sus servidores DNS pero, lo más inquietante es que VeriSign habría sido víctima de intrusiones desde el año 2010, concretamente en su filial Reston, responsable de la gestión de los dominios .com, .net y .gov. La compañía no cree que estas brechas de seguridad hayan afectado a los sistemas que controlan su parque de DNS y, por tanto, no temen que puedan existir riesgos relativos a redirecciones fraudulentas pero tampoco descartan nada.
De todas formas que una empresa que ofrece servicios de seguridad y emitía certificados SSL se vea en una situación de este tipo es bastante llamativo y, sobre todo, puede hacer tambalear a más de una empresa, máxime si tenemos en cuenta que la compañía maneja unos 50.000 millones de peticiones diarias de todo tipo de usuarios (incluyendo comunicaciones del gobierno de Estados Unidos o de algunas empresas). Además, estas brechas de seguridad fueron presentadas en una comisión gubernamental (sobre seguridad) que trataba de fijar nuevas normas y pautas de seguridad que debían seguir los distintos proveedores de servicios que operan en la red.
Por ahora, VeriSign ha declinado hacer cualquier tipo de declaración y no confirman si esta brecha de seguridad se debe al esfuerzo de alguna potencia extranjera o a un grupo organizado, son posibilidades que siguen barajando pero aún están sin confirmar.
¿Y qué pasa con los certificados digitales? Esa es una muy buena pregunta que, por desgracia, aún no tiene respuesta. VeriSign vendió el negocio de certificados digitales a Symantec en el verano de 2010 y, teniendo en cuenta las fechas, existe una duda relativa a si estos ataques llegaron antes o después de la venta. En el caso que hubiesen llegado antes, cabría la posibilidad de que muchos certificados digitales estuviesen en peligro y se comprometiesen sitios web de peso como Google o el Bank of America. Desde Symantec se han apresurado a decir que no hay indicios que vinculen la brecha de seguridad con el servicio de certificación y, por tanto, no hay peligro aparente.
Si recordamos el caso de Diginotar, el robo de certificados es capaz de poner patas arribas todo el sistema de cifrado de tráfico que usamos en la red y, por tanto, es un gran riesgo que, quizás, sea un indicador para llamarnos la atención y buscar soluciones más seguras.