Navegaba un día despreocupadamente por la web y decido aprender un poco más sobre Segurmática, empresa cubana que desarrolla el programa antivirus del mismo nombre. Una rápida búsqueda en Redcuba me facilita el enlace a la página deseada www.segurmatica.cu. Qué sorpresa cuando en vez de mostrar una preciosa y bien diseñada página web, mi navegador web (Firefox) me golpea en las narices con una Advertencia: riesgo potencial de seguridad. En estos casos el primer instinto siempre debe ser huir o correr el riesgo de regalarle el equipo a un cracker, siendo afortunado si solo lo usan para minar criptomonedas.
 |
| Mensaje de advertencia al tratar de acceder al sitio www.segurmatica.cu |
Advertencia: El primer instinto al recibir uno de estos mensajes de error debe ser cerrar la página. Nunca acceda a una página con error en los certificados a menos que conozca la razón del error y confíe en el propietario.
Advertencia: Nunca envíe datos personales, de cuentas bancarias o cualquier otro sensible, si el sitio que utiliza no está protegido mediante un certificado válido y el protocolo sea HTTPS (si no aparece el candado junto a la dirección).
Luego de comprobar la dirección a la que estaba tratando de acceder y llegar a la conclusión de que probablemente es la correcta, decido cautelosamente investigar un poco más a profundidad la causa del error. El mensaje del navegador es: SEC_ERROR_UNKNOWN_ISSUER. Este código significa que la aplicación no reconoce al emisor del certificado. “Los sitios web prueban su identidad mediante certificados. Firefox no confía en www.segurmatica.cu porque su emisor del certificado es desconocido, el certificado es autofirmado o el servidor no está enviando los certificados intermediarios correctos”. Literalmente mi navegador me advierte que no confía en el sitio. ¿Qué significa todo esto?
La confianza en Internet
Una de las principales formas de generar confianza en Internet, es a través de las Infraestructuras de Llave Pública (PKI, por sus siglas en inglés). Su funcionamiento está ligado a la criptografía asimétrica, donde se utilizan dos llaves, una pública, que permite cifrar y se hace pública y una privada, que permite descifrar. De esta manera cualquiera con acceso a la llave pública puede enviar un mensaje cifrado que solo el poseedor de la privada puede leer. Esto es utilizado además en la firma digital (ver en este artículo) y es la base de una PKI. En cambio, en la criptografía simétrica, que es a la que estamos más acostumbrados, la misma llave (contraseña) se utiliza para cifrar y descifrar el mensaje.
Estas PKI emiten certificados digitales desde los cuales se genera una cadena de confianza. Un certificado digital no es más que un fichero con cierta información acerca de una persona o institución y la llave pública de su par de llaves, todo esto firmado digitalmente por una autoridad de confianza que garantiza que los datos mostrados son veraces. De esta manera se pueden encadenar información y firmas digitales. El primer eslabón de la cadena se denomina certificado raíz y de él emana la confianza como luz divina que protege todos los certificados que emite.
Para garantizar la veracidad de la información de los certificados emitidos, las autoridades realizan un proceso de verificación de la identidad del solicitante. Este es un proceso muy riguroso, mientras mayor rango tenga la Autoridad de Certificación (CA) más severo es.
 |
| Cadena de confianza |
Los navegadores web vienen de fábrica con un grupo relativamente reducido de certificados raíz. Todos los sitios web protegidos mediante HTTPS buscan generar sus certificados bajo alguna de estas autoridades. Es tanto el poder y la confianza que generan, que podemos pasarnos una vida navegando en Internet sin recibir un error como el detectado en el sitio de Segurmática.
Una PKI cubana
Afortunadamente los navegadores web generalmente brindan información detallada acerca de la seguridad de los sitios, por lo que podemos inspeccionar la cadena de confianza.
Si revisamos un sitio como google.com, podemos ver que su cadena es: www.google.com < GTS CA 1C3 < GTS Root R1. El certificado utilizado para garantizar que el sitio www.google.com es legítimo proviene de Google Trust Services LLC, que a su vez está legitimado por la autoridad GTS Root R1 también de Google Trust Services LLC. De más está decir que los navegadores web vienen con esa autoridad preconfigurada.
En el caso del sitio web de Segurmática la cadena es: Empresa de Consultoria y Seguridad Informatica (Segurmatica) < ACSEGURMATICA < Autoridad de Certificación Servicio Central Cifrado.
 |
| Detalles del certificado presente en el sitio www.segurmatica.cu |
Hemos detectado el origen del error en nuestro navegador: El certificado raíz que valida al sitio de Segurmática pertenece a una “Autoridad de Certificación Servicio Central Cifrado”. No se encuentra configurado como autoridad de confianza en el navegador. Entonces, ¿de donde sale?
La Gaceta Oficial de la República de Cuba, en su edición 24 extraordinaria del año 2016, publicó la Resolución No. 2/2016 del Ministerio de Interior donde se establece la Infraestructura de Llave Pública cubana y designa al Servicio Central Cifrado del Ministerio del Interior como la Autoridad Raíz de la Infraestructura. Información sobre esta autoridad raíz puede encontrarse en esta página: https://crl.sercencif.cu/va/. Los certificados de las Autoridades de Certificación están disponibes en: https://crl.sercencif.cu/va/certificates/search.cgi.
Misterio resuelto
El sitio de Segurmática utiliza un certificado emitido bajo la Autoridad Raíz cubana y esta aún no viene preconfigurada en los navegadores web, de ahí la advertencia de seguridad. Para solucionar esto, podemos añadir manualmente este certificado raíz a nuestro navegador. Para lo que primeramente descargamos el certificado raíz de la página de la autoridad, en el sitio que mencionamos anteriormente. En el caso de Firefox vamos a Ajustes -> Privacidad y Seguridad -> Ver certificados -> Autoridades -> Importar y añadimos el fichero descargado, marcando las casillas para confiar en él. Para el resto de navegadores el procedimiento es similar.
Finalmente confiando en la cadena, podemos acceder al sitio web de Segurmática y conocer un poco más sobre esta empresa líder en el área de las TICs en Cuba. Además, al confiar y tener configurada esta autoridad raíz ya podremos acceder sin alertas de seguridad al número creciente de sitios cubanos que la utilizan.
Como punto final, vale destacar que Segurmática brinda servicios de Autoridad de Certificación, puede conocer más en la dirección https://pki.segurmatica.cu/
Comentarios
Publicar un comentario