Recientemente, Google encontró que una autoridad de certificación (CA) emitió certificados forjados para los dominios de Google. Esto compromete el departamento de suministrado por la seguridad de la capa (TLS), así como la HTTP segura (HTTPS), lo que permite al titular de los certificados forjados realizar un ataque de hombre en el medio.
Para validar que el sitio web que está revisando es realmente que a quienes reclaman un seguro, su navegador se asegura de que el certificado proporcionado por el servidor que acceda a la que se haya firmado por un CA de confianza. Cuando alguien solicita un certificado de una CA, deben confirmar la identidad de la persona que realiza la solicitud. Su navegador, así como el sistema operativo, tienen un conjunto de CAS finalmente confiables (llamado Root CAS). Si el certificado fue emitido por uno de ellos, o una CA intermedia con la que confían, dependerá de la conexión. Toda esta estructura de depende se llama una cadena de confianza.
Con un certificado forjado, puede persuadir a un cliente que su servidor sea realmente http://www.google.com. Puede utilizar esto para sentarse entre la conexión de un cliente, así como el servidor de Google real, escuchando su sesión.
En este caso, una CA intermedia hizo precisamente eso. Esto es de miedo, ya que socava la seguridad que todos nosotros dependemos de todos los días para todas las transacciones seguras en Internet. El certificado Pinning es una herramienta que se puede utilizar para soportar este tipo de ataque. Funciona al asociar una retención con un cierto certificado. Si cambia, no se confiará la conexión.
La naturaleza centralizada de TLS no funciona si no puede depender de las autoridades. Desafortunadamente, no podemos.