De cómo las CA tradicionales están perdiendo el control de los certificados y los posibles motivos por los que Chrome tendrá una nueva Root Store

Todo se trata de confianza. Esta frase es válida en cualquier ámbito. El dinero por ejemplo no es más que un traspaso de confianza, porque obviamente, confiamos en que por un trozo de papel que físicamente no vale nada podemos conseguir bienes y servicios. La confianza en la navegación viene por los certificados raíz. En tanto en cuanto confiemos en ellos, sabremos que nuestra navegación no está siendo intervenida y podemos visitar e introducir datos en webs con ciertas garantías. Pero ¿en quién debemos confiar la elección de estos certificados raíz? ¿Confiamos en los que proporciona el navegador o en los que nos ofrece el sistema operativo? Google ha movido ficha y quiere tener su propio sistema de Root Store.

En el principio fue el CAB/Forum

Es el foro de entidades relevantes de Internet (principalmente CAs y navegadores). Se vota y se decide sobre el futuro del uso de certificados y TLS en general. O no. Porque ese año hemos asistido a cómo un fabricante relevante ha actuado independientemente del resultado de una votación y unilateralmente ha aplicado su propio criterio. En 2019 votaron si se debía reducir el tiempo de vida de los certificados TLS/SSL a un año. El resultado fue no. Pero no importó. Los navegadores tomaron la palabra. Safari en febrero de 2020 afirmó unilateralmente que marcaría como inválidos los certificados creados por más de 398 días a partir del 1 de septiembre. Firefox y Chrome le siguieron. La votación entre las partes implicadas (principalmente CAs y navegadores) no sirvió para nada.

Otro ejemplo es cómo Chrome lideró en cierta forma el “deprecado” de los certificados que usaran SHA-1 siendo cada vez más agresivo estéticamente con la validez de estos certificados (aspas rojas, alertas…) y a veces sin estar alineados con los plazos marcados por el CAB/Forum.

Nada malo de por sí, no debe malinterpretarse. Los navegadores pueden llegar a proporcionar cierta agilidad en las transiciones. El problema es que los intereses de las autoridades certificadoras, con un claro plan de negocio, no siempre coincide con el de los navegadores (representados por compañías con intereses a veces contrapuestos). Al final, parece que quien está más cerca del usuario tiene la sartén por el mango. De nada sirve que las CA decidan emitir certificados con duración superior a un año si el navegador que usa el 60% de los usuarios va a marcarlos como de no confianza. La popularidad, la cercanía con el usuario, redunda en un valor en sí mismo que Chrome y otros explotan (como ya hizo Internet Explorer en su tiempo) para poder imponer los “estándares”.

Las Root Stores… Cada uno tenía la suya y ahora Chrome quiere una

Windows siempre ha tenido un Root Store con los certificados raíz en los que confía. De él se alimenta Internet Explorer, Edge… Apple igual, Android también. El navegador más popular con su Root Store independiente era Firefox. Y esto a veces traía problemas. Que se lo digan a la FNMT y a la increíble historia de Firefox y su certificado raíz del que carecía hasta no hace mucho. También algo de polémica. En 2016 Firefox fue la primera en dejar de confiar en WoSign y StartCom por dudar de sus prácticas. El resto le siguieron en seguida. Por otro lado, en 2018, Apple, Google y Firefox dejaron de confiar en certificados Symantec. Para ello usaron el bloqueo tradicional (por varios medios) y no necesariamente dejándolos de incluir en su Root Store.

En general, los navegadores movían ficha en este aspecto. Si Edge quería dejar de confiar en algo, Microsoft se encargaba en Windows. Si era Safari, Apple lo eliminaba del Root Store Mac y el iPhone. Si Chrome quería controlar en quién confiar, podía hacerlo en Android pero… ¿Y en Chrome sobre Windows, sobre Mac, iPhone… y en Chrome sobre Linux? Esa pieza le faltaba en el puzle y le hacía dependiente del criterio de un tercero.

Ahora quiere su propia Root Store para no depender de nadie. En su estamento donde defiende el movimiento habla principalmente de que esto proporciona homogeneidad en las plataformas. No en todas, porque en concreto menciona que en iOS se le va a impedir este paso y por tanto, Chrome seguirá “tirando” del root store impuesto por Apple. Por lo demás, explica sus criterios de inclusión como certificado raíz de confianza (que en principio son los estándares). Y que por supuesto responderá ante incidentes que minen la confianza en la CA.

Pero ¿por qué querer una Root Store? En 2019 Mozilla volvía a recordar por qué lo hacían ellos desde siempre y por qué era necesario: principalmente por “reflejar sus valores” (lo que otros pueden también traducir como “intereses”). Pero aparte de la homogeneidad que también menciona Mozilla, una frase en su explicación que da en el clavo es “In addition, OS vendors often serve customers in government and industry in addition to their end users, putting them in a position to sometimes make root store decisions that Mozilla would not consider to be in the best interest of individuals”. Lo que traducido significa: hay quien que se pliega a intereses políticos o del mercado. Y no queremos que eso repercuta en el usuario. En una palabra: desconfianza. Mozilla desconfía. También menciona el hecho de que el sistema operativo inserta certificados para analizar tráfico en su Root Store (como por ejemplo el antivirus), así no les afecta. Siempre anteponiendo las libertades individuales como ya hizo imponiendo el DoH y obligando en cierto modo a elegir entre seguridad y privacidad.

¿Y las motivaciones de Google? ¿Serán parecidas? Sobre el papel sí, quieren homogeneidad. Pero no olvidemos que sea quien sea el que lo controle, como sutilmente recordaba Mozilla, decidir sobre la Root Store independientemente del sistema operativo también permite elegir quién, en un momento dado, puede tener acceso al tráfico cifrado. Aparte de ser un dolor de cabeza para el administrador.

Así que al final parece que es, de nuevo, cuestión de confianza… ¿o quizás desconfianza? Chrome, una vez maduro y con una gran influencia sobre el mercado, quiere que confiemos en ellos y en su política de acceso a la Root Store. A esto a su vez… (a la luz de las razones que exponía Mozilla) ¿no se podría interpretar como una ligera desconfianza hacia la plataforma donde Chrome se ejecuta? ¿No se trata de un paso más en el distanciamiento de las propias CAs? ¿Un intento al fin y al cabo de tener más control?