Panorama de los certificados SSL en España

Área de Innovación y Laboratorio de Telefónica Tech    29 noviembre, 2021

Introducción

En la actualidad, el uso del cifrado en la navegación por Internet se ha convertido casi en un estándar y algo que la sociedad requiere para proteger la privacidad y autenticidad de las comunicaciones proporcionando una capa de seguridad en nuestra navegación diaria por internet.

De hecho, la evolución del uso de HTTPS ha sido espectacular desde el 2014 como podemos ver en la siguiente gráfica del informe de transparencia de Google.

Porcentaje de uso de HTTPS a través de los servicios de Google

La utilización de HTTPS cuenta con numerosas ventajas de cara a la protección de los usuarios finales, sin embargo, requiere a las organizaciones, que ofrecen servicios o portales informativos en Internet, la adquisición, instalación, actualización y mantenimiento de los certificados SSL sobre los que se basa esta comunicación segura.

Desde el centro de ciberseguridad TEGRA Cybersecurity Center en Galicia, hemos hecho un análisis exhaustivo del panorama actual de los certificados SSL en España.

En este post nos centraremos en el periodo de validez de los certificados y que información útil, en labores de OSINT, se puede sacar de dichos certificados. Se recomienda consultar el informe adjunto a este post para un análisis desde otras perspectivas.

Principales rangos de expiración

La validez es un campo requerido para la emisión de un certificado válido, pero ¿cuáles son los periodos más usados de validez de los certificados?

Según podemos observar en la imagen a continuación, el periodo más usado es el de 1 año (27%) seguido por aquellos certificados de duración entre 1 y 2 años (17%), aquellos de 2 años de duración (13%) y cerrando el top 4 aparecen los 10 años con un 9,51% de los certificados.

Llama la atención que figure tan alto en la lista aquellos certificados con más de 20 años de duración con un 8% de certificados dentro del universo de análisis. Profundizando en el análisis vemos un ejemplo de como los certificados SSL pueden ser una fuente de filtración de la información y utilizarse en técnicas de OSINT por pentesters e incluso atacantes.

Encontramos 4.697 certificados con la misma duración para todos ellos 7.824 días esta peculiaridad nos lleva a tomar una muestra de dichos certificados y descubrir que se trata de certificados emitidos para poder realizar inspección de tráfico SSL para el firewall de Sophos.

Para poder realizar la inspección del trafico cifrado debemos instalar el certificado en el equipo y la autoridad certificadora que viene por defecto es la que facilita esta fuga de información accidental. Como podemos ver en la siguiente imagen dicho certificado tiene una validez de más de 20 años en concreto 7.824 días.

Usando esta información y realizando una simple búsqueda de certificados con ese periodo de validez exacto en Censys podríamos encontrar esos 4.697 certificados como vemos en la imagen a continuación.

Con ello conseguiríamos los correos electrónicos de los administradores de sistemas de las organizaciones y sabríamos que utilizan dicho firewall, lo que nos da una información potencialmente valiosa desde el punto de vista de un ataque si se descubren vulnerabilidades en dicho firewall.

Conclusiones

En España del total de certificados que se puede encontrar en censys.io hemos acotado nuestro análisis de forma sustancial de los más de 600.000 certificados iniciales a los aproximadamente 70.000 certificados (11%) vigentes, que no sean precertificados y no estén autofirmados.

Con respecto al periodo de validez de los certificados hemos visto como a partir de información simple, y a primera vista no relevante, se puede recopilar información muy interesante desde el punto de vista de hacking ético e incluso de un potencial atacante.

Esto demuestra que, debemos medir los riesgos de la información que exponemos en Internet ya que, a veces de forma inconsciente, puede proporcionar un vector de ataque que no figura en nuestro modelado de amenazas.


El Centro de Innovación en Ciberseguridad TEGRA se enmarca en la unidad mixta de investigación en ciberseguridad IRMAS (Information Rights Management Advanced Systems), que está cofinanciada por la Unión Europea, en el marco del Programa Operativo FEDER Galicia 2014-2020, para promover el desarrollo tecnológico, la innovación y una investigación de calidad.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *