foro ca/browser y tendencias en la industria · 2018-05-18 · funciones avanzadas solamente...
TRANSCRIPT
Foro CA/Browser y Tendencias en la Industria
Dean CoclinSr. Director of Business Development
Agenda
1 Nuevas prácticas en la industria
2 Phishing
3 Actualizaciónes del Foro CA/B
Copyright © 2014 Symantec Corporation
2
Copyright © 2014 Symantec Corporation
3
1 Nuevas prácticas en la industria
2 Phishing
3 Actualizaciónes del Foro CA/B
http se convertirá en una cosa del pasado
Copyright © 2014 Symantec Corporation
4
Los navegadores advertirán a los usuarios deconexiones que no son https
Chrome advertirá a los usuarios cuando la página no sea segura(sin-https)
Escriba chrome://flags y elija: “Mark non-secure origins as non-secure” para probar el comportamiento
©2016 Symantec Corporation
5
El Gobierno de los Estados Unidos estámigrando todo a https
©2016 Symantec Corporation
6
De 1166 domains!
Source: pulse.cio.gov
Funciones avanzadas solamentedisponibles en https1. Geolocalización (Chrome 50)
2. Movimiento y Orientación del Dispositivo
3. Pantalla Completa
4. Acceso a los medios de Media center (Camara/Mic)
5. Encrypted Media Extension (DRM)
©2016 Symantec Corporation
7
Visite: https://www.chromium.org/Home/chromium-security/deprecating-powerful-features-on-insecure-origins
http2 en vez de https
Chrome, Firefox, IE, Edge, Safari, Opera
©2016 Symantec Corporation
8
Considerablemente más rápido!
Mejora en los datos de referencia
• http Operador del Sitio: “¿de donde vino esa persona
• Source (https): Lamentablemente no puedo decirle porque usted no esta utilizando https
MORALEJA: Utilice https para su sitio y mejore sus datos de referencia!
©2016 Symantec Corporation
9
• Conección SMTP TLS GUI en gmail
• Uso de certificados confiables para servidores de correo
Google …
©2016 Symantec Corporation
10
No hay
codificación
Con un certificado con Encriptación
Según Netcraft, el 82% de
servidores aún no tienen un
certificado SSL confiable
https estará presente en muchosdominios
• Google Blogspot
• Google Analytics
• Wikimedia
• .gov
• Wordpress
• yell.com
• Bitly (for URL shorteners)
• Shopify
©2016 Symantec Corporation
11
Qué significa ?
©2016 Symantec Corporation
12
¿El sitio es seguro?
¿Este sitio esta actualizado y no tiene vulnerabilidades?
¿Tengo el conocimiento de quien el sitio reclama ser?
¿Está este sitio libre de malware?
¿Puedo confiar en este sitio?
Si compro algo en este sitio ¿estoy seguro de su entrega?
Alguien tiene el control del dominio . . .
Los datos estan codificados
Pero ¿quien controla el dominio?¿Quién puede solicitar un certificado para dean.example.com?
• Dean Coclin, es el autor del contenido y el operador lógico del orígen de dean.example.com
• Example.com, es un proveedor de servicios de internet a Dean Coclin
• CDN Corp, una compañía que proporciona servicios SSL/TLS a example.com, que no los ofrece directamente
• Marketing Inc, es la compañia responsable por el diseñomantenimiento del sitio en nombre de Dean Coclin
• Payments LLC, es la compañia responsable de manejar órdenesy todos los detalles financieros de dean.example.com
• DNS Org, es la compañia que opera los servicios de DNS ennombre de Dean Coclin
• Mail Corp, es la organización que maneja los registros MX a la cual dean.example.com corresponde
©2016 Symantec Corporation
13
¿QUÉ
DEBERÍA IR
EN EL
CAMPO
“O”?
¿Qué significan estas señales?
©2016 Symantec Corporation
14
Consistente, Universal, Global, Sin curva de aprendizaje
Importa la consistencia
©2016 Symantec Corporation
15
http o https?
©2016 Symantec Corporation
16
Estadísticas de la Industria
©2016 Symantec Corporation
17
Mayo 2016: 4.84 M certs
+39% de crecimiento desde Mayo
del 2015
DV OV EV
76.1% 21% 3.1%
Los sitios más concurridos del Web
©2016 Symantec Corporation
18
DV; 76%
OV; 21%
EV; 3%
All Certificates
DV OV EV
DV; 47%
OV; 37%
EV; 16%
Top Million
DV OV EV
Fuente: Netcraft Data May 2016
Symantec: Líder en Website Security
Copyright © 2014 Symantec Corporation
19
Cuota del Mercado
0%
5%
10%
15%
20%
25%
30%
35%
40%
Symantec Comodo GoDaddy Digicert Globalsign Entrust Startcom Let's Encrypt Other
Top Million Netcraft Sites
Market Share - Top Million
El Cambio de los Certificados a Let’s Encrypt
21
0
200
400
600
800
1.000
1.200
1.400
1.600
Comodo StartCom Symantec GoDaddy WoSign GlobalSign Other DigiCert QuoVadis Unizeto NetworkSolutions
Trustwave Entrust.net TAIWAN-CA
Nu
mb
er
of
cert
ific
ate
s
Source of gained certificates
Central & South America Market Share
22
Symantec Symantec; 10173; 12%
Symantec RapidSSL; 6389; 7%
Symantec GeoTrust; 3847; 4%Symantec Thawte;
2904; 3%
Comodo; 19641; 23%
Let's Encrypt; 12114; 14%
GoDaddy; 9952; 12%
GlobalSign; 6567; 8%
DigiCert; 4332; 5%
StartCom Ltd.; 4324; 5%
Other; 3983; 5%Entrust; 858; 1%
Symantec SymantecSymantec RapidSSLSymantec GeoTrustSymantec ThawteComodoLet's EncryptGoDaddyGlobalSignDigiCertStartCom Ltd.OtherEntrust
Colombia SSL certificate growth
23
0
500
1000
1500
2000
2500
3000
3500
4000
4500
SSL Certificates
Predicciones de Dean’s
El uso de los certificados seguirá creciendo6.5 a 7.5M en los próximo 12 meses
• Impulsados por las iniciativas https y EE!
Los servidores SNI tendran un aumento en crecimiento
El uso de SHA-1 usage disminuirá notablemente (y también XP!)
Phishing utilizando certificados DV seguirá aumentando
Chrome estará al margen de cambios y medidas de cumplimiento
IPv6 será finalmente adoptado para búsquedas CRL y OCSP
©2016 Symantec Corporation
24
©2016 Symantec Corporation
25
1 Nuevas prácticas en la industria
2 Phishing
3 Actualizaciónes del Foro CA/B
Phishing
©2016 Symantec Corporation
26
61%16%
6%
6%
5%
6%
Certificados Phishing encontrados por Netcraft(Mayo del 2016)
Comodo
GoDaddy
Let's Encrypt
Symantec
Globalsign
Other
El 35% de los certificados
de Comodo fueron
expedidos por Cloudflare
http://toolbar.netcraft.com/stats/certificate_authorities
Ejemplos de sitios de software malintencionado
©2016 Symantec Corporation
27
Let’s Encrypt
• paypal-4updates.com
• icloud-unlock.pl
• icloud-lostapple.info
• www.verif-icloud.com
• restore-amazon.com
• intl-paypal.hotchat.online
Comodo
• net-flix.one
• amazom.ml
• paypal-security.center
• p.aypal.info
• safe-payment.online
• pypal-account-information.info
Los phishers saben cómo utilizar SSL correctamente!
©2016 Symantec Corporation
28
Resumen
DV: Fácil de obtener para usuarios legítimos y cibercriminales
Los Phishers estan convirtiéndose en expertos en la creación de dominios que parecidos a los originales
• xn—80aj7b8a.com еьау.com
• xn—secure-ank-yzi.com secure-ьank.com
• ltunes.com
• paypl.com
• ww.vv-paypal.com
• icl0ud.ru.com
El ecosistema de partners deberá trabajar en conjunto.
©2016 Symantec Corporation
29
©2016 Symantec Corporation
30
1 Nuevas prácticas en la industria
2 Phishing
3 Actualizaciones del foro CA/B
¿Cuanto sabes acerca del foro CA/B?
VERDADERO O FALSO:
• Cualquiera puede participar en el foro CA/B Forum como miembro votante
• El último miembro que se ha incorporado al foro es de Argentina
• Firefox permite certificados de corto plazo
• Los requerimientos para Code Signing Requirements entrarán en efecto el añoque viene
• Se creó un grupo de trabajo a fin de empujar el cambio de la gobernanza del foro
• La votación para reportar los certificados que son erróneamente expedidos fracaso
31
Foro CAB : Novedades de este año
Miembros nuevos: Amazon, Let’s Encrypt
Miembros suspendidos: Visa, Cisco
Se creó un grupo de trabajo a fin de empujar el cambio de la
gobernanza del foro
Reuniones F2F en Zurich, Istanbul, Scottsdale, Bilbao
Próximas reuniones en Redmond, Cupertino (2017), Berlin
Todas las CAs públicas sean o no miembros del Foro CAB,
deben adherirse a las pautas!
©2016 Symantec Corporation
32
2014 2015 2016
Temas de Actualidad
Grupo de trabajo en Code Signing: Requisitos de Base
• Voto Fallo!
• Microsoft adoptará BRs desde el 1ero de Febrero del 2017
Certificados de Corto Plazo
• Voto Fallo!
CAA
SHA-1 para procesador de pagos
EV Wildcards
Google y EV
©2016 Symantec Corporation
33
©2016 Symantec Corporation
34
Gracias!Dean [email protected],
@chosensecurity