Blog

Certificados Auto-firmados

(Self-Signed Certificates)

Junio, 2016

Los certificados auto-firmados son muy comunes en una red, en la actualidad podemos encontrarlos en consolas de:

  1. Routers
  2. LAN Switches
  3. Firewalls
  4. IPS
  5. Appliances
  6. Consolas de Antivirus
  7. Impresoras
  8. Y toda herramienta o aplicación que se administra vía HTTPS con la configuración por defecto del fabricante.

Esta configuración por defecto, expone usuarios y passwords privilegiados ante cualquier intruso que haga un ataque de hombre en medio (man-in-the-middle).

Por otro lado los Certificados Digitales SSL emitidos por un Certificate Authority (CA) cumplen dos funciones principales:

  1. Autenticar: Dan garantía a quien ingresa a un recurso web, que el destino a donde desea conectarse, es realmente quien dice ser y que no existe alguien que está suplantando esa conexión.
  2. Encriptar: Provee la capacidad de convertir los datos transmitidos en una conexión, en un formato que no puede ser interceptado y leído, lo que en la actualidad se conoce como encripción mediante el protocolo HTTPS.
QUE ES UN SELF-SIGNED CERTIFICATE

Un certificado auto-firmado puede llegar a tener las mismas características técnicas de un certificado normal, como los algoritmos de encripción, tamaño de la llave, etc. Pero la función de AUTENTICAR no la poseen, esto los convierte en una vulnerabilidad de alto riesgo en la red.

Este tipo de certificado es generado, emitido e instalado en el mismo servidor o equipo, tendiendo exposición de la llave privada para des-encriptar la información que viaja en una conexión, como también prestándose fácilmente para suplantar la identidad del recurso web que se esté utilizando con uno de ellos, al no tener quien valide su origen y autenticidad.

Los navegadores tienen mecanismos para alertar al usuario final sobre una posible suplantación de identidad de los recursos web, por lo que muestran alertas y una de ellas es la de los certificados auto-firmados.

RIESGOS
  • Perdida en la confidencialidad de la información
  • Intrusión a la red por exposición de passwords de administradores.
  • Falta de disponibilidad de servicios.
  • Daños a la reputación de la compañía.
RECOMENDACIONES
  1. Realice periódicamente un análisis de red en busca del protocolo HTTPS, que le permita diagnosticar que tipo de certificado tienen instalado, que algoritmos utilizan y las fechas de vencimiento.
  2. Establezca una política empresarial como buena práctica para prohibir el uso de certificados auto-firmados, aun en ambientes de desarrollo y para recursos que se acceden internamente en la red, porque los riesgos son tanto interna como externamente.
  3. Cada vez que instale una herramienta o equipo que necesite ser administrado vía web, inmediatamente habilite el protocolo HTTPS y utilice un certificado SSL emitido por una entidad certificadora validada por WebTrust.

BITSO | Business Information Technology Solutions, S.A.

SÍGUENOS

PUBLICACIONES RECIENTES

SSL Reseller