Un reciente fallo en la validación de dominios por parte de SSL.com, una de las Autoridades Certificadoras (CA) de confianza para navegadores como Chrome, Firefox y Safari, ha comprometido la seguridad del ecosistema SSL/TLS. Esta vulnerabilidad permitía a atacantes obtener certificados válidos para dominios sobre los que no tenían control, lo que abre la puerta a posibles ataques de suplantación de identidad y espionaje sin alertar a los usuarios.
El problema se originó en el mecanismo de Domain Control Validation (DCV), en el cual se utilizaba el método 3.2.2.4.14 definido por el CA/Browser Forum. Este método validaba el control de un dominio usando una dirección de correo electrónico configurada en un registro DNS TXT. Sin embargo, la implementación defectuosa de SSL.com validaba dominios basándose únicamente en el dominio del correo electrónico del solicitante, sin comprobar su control real. Así, en un caso extremo, un atacante podría usar una dirección de correo de un proveedor conocido para obtener certificados de dominios como aliyun.com sin ser el propietario.
La gravedad del fallo radica en que los certificados SSL/TLS emitidos son considerados válidos por todos los navegadores, lo que permitiría a los atacantes crear páginas web fraudulentas con un candado HTTPS aparentemente legítimo, realizar ataques de tipo Man-in-the-Middle (MITM) sin levantar sospechas y difundir malware o ejecutar campañas de phishing indetectables.
Organizaciones con correos accesibles públicamente y que no limiten explícitamente qué CA puede emitir certificados para sus dominios están en riesgo. Esto incluye empresas, proyectos de código abierto y dominios personales con configuraciones de correo y registros DNS CAA (Certification Authority Authorization) poco estrictos.
Ante este escenario, SSL.com ha reconocido el error, revocado los certificados emitidos incorrectamente y desactivado temporalmente el método DCV comprometido. Un informe preliminar sobre el incidente está previsto para antes del 21 de abril de 2025. Sin embargo, este episodio resalta la necesidad de no depender únicamente del protocolo HTTPS y de los candados visibles en los navegadores, ya que la infraestructura de las CA, aunque generalmente sólida, puede sufrir fallos con consecuencias silenciosas pero devastadoras.
Las recomendaciones para los equipos técnicos y de seguridad incluyen la implementación de registros CAA en todos los dominios corporativos para delimitar las CA autorizadas, la monitorización de registros de Transparencia de Certificados (CT logs), la auditoría de las direcciones de correo empleadas para la validación de certificados, la evaluación de la fiabilidad de las CA actuales y la automatización en la gestión y revisión de certificados para detectar anomalías a tiempo.
Aunque SSL.com revocó rápidamente el certificado comprometido, es importante señalar que la revocación no asegura una protección inmediata, ya que muchos navegadores no comprueban en tiempo real el estado de los certificados, lo que puede permitir que un certificado revocado siga siendo aceptado durante semanas. Por lo tanto, es crucial combinar la revocación con medidas de detección temprana y políticas preventivas robustas.
Este incidente subraya la importancia de una gestión proactiva y vigilante de los certificados digitales, así como de una seguridad de canal cifrado que comience con decisiones bien informadas y una defensa en profundidad por parte de los equipos técnicos, sin depender únicamente de los controles establecidos por las CA.
