Comentarios sobre la seguridad de Internet

Por todos es sabido que la seguridad en las transacciones por Internet descansa en el protocolo SSL. Este protocolo basa su seguridad en un esquema PKI, en el que unas cuantas organizaciones están acreditadas para emitir certificados digitales que son la base del protocolo SSL.
En el año 2011, este esquema ha sido golpeado en varias ocasiones a raíz de los escándalos ‘Comodo’ y ‘Diginotar’, sendas CAs que fueron comprometidas y que emitieron certificados SSL fraudulentos que pusieron en entredicho la credibilidad de SSL.
Dado que, tal y como está diseñado el protocolo SSL, cualquier entidad reconocida que haya sido aprobada por Microsoft (Para Internet Explorer y Chrome en Windows) y Mozilla (Firefox) puede emitir un certificado digital que acredite la validez de un sitio web, es un ejercicio interesante saber quienes son esas entidades que actúan como garantes de la seguridad en Internet
Después de lidiar con la ‘peculiar forma’ en la que Windows gestiona los certificados digitales, se ha extraído un listado categorizado por País de las entidades que están reconocidas para emitir certificados SSL por Microsoft
En total se han localizado 130 entidades de 45 países diferentes. Muchas de estas organizaciones tienen a su vez múltiples CAs reconocidas, pero el objeto de este estudio es conocer los nombres de las organizaciones y su procedencia:

.
ORGANIZACIÓN PAÍS
.
D-Trust GmbH ALEMANIA
.
Deutsche Telekom AG ALEMANIA
.
Deutscher Sparkassen Verlag ALEMANIA
.
TC TrustCenter for Security in Data Networks ALEMANIA
.
TC TrustCenter GmbH ALEMANIA
.
eSign Australia AUSTRALIA
.
Gatekeeper PKI AUSTRALIA
.
ARGE DATEN – Austrian Society for Data Protection AUSTRIA
.
Arge Daten Oesterreichische Gesellschaft fuer Datenschutz AUSTRIA
.
Telekom-Control-Kommission AUSTRIA
.
Certipost s.a. BELGICA
.
GlobalSign nv-sa BELGICA
.
QuoVadis Limited BERMUDAS
.
Certisign Certificadora Digital Ltda BRASIL
.
ICP-Brasil BRASIL
.
Instituto Nacional de Tecnologia da Informacao BRASIL
.
Serasa S.A BRASIL
.
InfoNotary PLC BULGARIA
.
Echoworx Corporation CANADA
.
Prvni certifikacni autorita a.s. CHEQUIA
.
E-CERTCHILE CHILE
.
China Internet Network Information Center CHINA
.
UniTrust CHINA
.
Certicamara S.A. Entidad de Certificacion COLOMBIA
.
Sociedad Cameral de Certificación Digital COLOMBIA
.
Disig a.s. ESLOVAQUIA
.
ACNLB ESLOVENIA
.
POSTA ESLOVENIA
.
sigov-ca ESLOVENIA
.
State-institutions ESLOVENIA
.
Agencia Catalana de Certificacio ESPAÑA
.
Agencia Notarial de Certificacion S.L ESPAÑA
.
Autoridad de Certificacion Firmaprofesional ESPAÑA
.
Camerfirma S.A ESPAÑA
.
Colegio de Registradores de la Propiedad y Mercantiles de España ESPAÑA
.
Consejo General de la Abogacia ESPAÑA
.
DIRECCION GENERAL DE LA POLICIA ESPAÑA
.
FNMT ESPAÑA
.
Generalitat Valenciana ESPAÑA
.
IPS Seguridad ESPAÑA
.
IZENPE S.A ESPAÑA
.
Servicio de Certificacion del Colegio de Registradores ESPAÑA
.
AS Sertifitseerimiskeskus ESTONIA
.
VRK Gov FINLANDIA
.
Certinomis FRANCIA
.
Certplus FRANCIA
.
DCSSI FRANCIA
.
Dhimyotis FRANCIA
.
KEYNECTIS FRANCIA
.
ValiCert, Inc FRANCIA
.
Staat der Nederlanden HOLANDA
.
Hongkong Post HONG KONG
.
Microsec Ltd HUNGRIA
.
NetLock Halozatbiztonsagi Kft HUNGRIA
.
NetLock Kft HUNGRIA
.
Trustis Limited INGLATERRA
.
UniTrust INGLATERRA
.
Baltimore CyberTrust Root IRLANDA
.
Post.Trust Ltd IRLANDA
.
ComSign Advanced Security ISRAEL
.
StartCom Ltd ISRAEL
.
Actalis S.p.A ITALIA
.
Japan Certification Services, Inc JAPON
.
Japanese Government JAPON
.
LGPKI JAPON
.
SECOM Trust Systems JAPON
.
Government of Korea KOREA DEL SUR
.
KISA KOREA DEL SUR
.
Korea Certification Authority Central KOREA DEL SUR
.
Sertifikacijas pakalpojumu dala LETONIA
.
VAS Latvijas Pasts LETONIA
.
Skaitmeninio sertifikavimo centras LITUANIA
.
VI Registru Centras LITUANIA
.
Macao Post MACAO
.
Autoridad Certificadora Raiz de la Secretaria de Economia MEXICO
.
Secretaria de Economia MEXICO
.
Buypass NORUEGA
.
Unizeto Technologies S.A POLONIA
.
SCEE PORTUGAL
.
certSIGN RUMANIA
.
Netrust Certificate Authority SINGAPUR
.
South African Post Office Limited SUDAFRICA
.
Thawte Consulting SUDAFRICA
.
Western Cape SUDAFRICA
.
AddTrust External TTP Network SUECIA
.
Carelink SUECIA
.
TeliaSonera SUECIA
.
Admin ** SUIZA
.
Swisscom SUIZA
.
SwissSign AG SUIZA
.
WISeKey SUIZA
.
Chunghwa Telecom Co TAIWAN
.
Government Root Certification Authority TAIWAN
.
TWCA Root Certification Authority TAIWAN
.
Agence Nationale de Certification Electronique TUNEZ
.
ANCE WEB TUNEZ
.
EBG Elektronik Sertifika Hizmet TURQUIA
.
Elektronik Bilgi Guvenligi A.S TURQUIA
.
TURKTRUST Elektronik TURQUIA
.
ADMINISTRACION NACIONAL DE CORREOS URUGUAY
.
ABA.ECOM, INC USA
.
AffirmTrust USA
.
America Online Inc USA
.
Cybertrust, Inc USA
.
DigiCert Inc USA
.
Digital Signature Trust Co USA
.
Entrust, Inc. USA
.
Equifax Secure Inc USA
.
GeoTrust Inc USA
.
GlobalSign Root CA USA
.
GoDaddy.com, Inc USA
.
GTE Corporation USA
.
Microsoft Corporation USA
.
Network Solutions L.L.C USA
.
RSA Security Inc USA
.
SecureTrust Corporation USA
.
Starfield Technologies, Inc USA
.
thawte, Inc USA
.
The Go Daddy Group, Inc USA
.
The USERTRUST Network USA
.
U.S. Government USA
.
ValiCert, Inc USA
.
VeriSign, Inc USA
.
VISA USA
.
Wells Fargo USA
.
Xcert EZ by DST USA
.
XRamp Security Services Inc USA
.
Autoridad de Certificacion Raiz del Estado Venezolano VENEZUELA
.
Superintendencia de Servicios de Certificacion Electronica VENEZUELA

 

Algunos datos significativos:
•Estados Unidos lidera claramente el número de organizaciones acreditadas (26)
•España es el segundo país con más CAs acreditadas por Microsoft (11)
•Tunez es el único país del magreb que tiene presencia acreditada (Turquía es el otro país musulmán acreditado)
•China tiene 2 organizaciones capaces de emitir certificados SSL y dos más adscritas a Hong Kong y Macao (provincias con régimen especial)
•Hay dos entidades acreditadas con sede en los paraísos fiscales de Bermudas y Singapur
•Existen múltiples CAs acreditadas que están ligadas a entidades gubernamentales
Conclusiónes:
•Estas 130 organizaciones son las que tienen potestad para certificar que www.google.com (o cualquier otro dominio bajo SSL) es quien dice ser.
•Un compromiso en cualquiera de estas organizaciones podría derivar en otro ‘caso Comodo / Diginotar’
•Si alguna de estas organizaciones operase de forma fraudulenta, podría actuar de forma impune colaborando en el seguimiento y monitorización gubernamental de ciudadanos
 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies