foro ca/browser y tendencias en la industria · 2018-05-18 · funciones avanzadas solamente...

Foro CA/Browser y Tendencias en la Industria

Dean CoclinSr. Director of Business Development

Agenda

1 Nuevas prácticas en la industria

2 Phishing

3 Actualizaciónes del Foro CA/B

Copyright © 2014 Symantec Corporation

2


3


2 Phishing


http se convertirá en una cosa del pasado


4

Los navegadores advertirán a los usuarios deconexiones que no son https

Chrome advertirá a los usuarios cuando la página no sea segura(sin-https)

Escriba chrome://flags y elija: “Mark non-secure origins as non-secure” para probar el comportamiento

©2016 Symantec Corporation

5

El Gobierno de los Estados Unidos estámigrando todo a https


6

De 1166 domains!

Source: pulse.cio.gov

Funciones avanzadas solamentedisponibles en https1. Geolocalización (Chrome 50)

2. Movimiento y Orientación del Dispositivo

3. Pantalla Completa

4. Acceso a los medios de Media center (Camara/Mic)

5. Encrypted Media Extension (DRM)


7

Visite: https://www.chromium.org/Home/chromium-security/deprecating-powerful-features-on-insecure-origins

http2 en vez de https

Chrome, Firefox, IE, Edge, Safari, Opera


8

Considerablemente más rápido!

Mejora en los datos de referencia

• http Operador del Sitio: “¿de donde vino esa persona

• Source (https): Lamentablemente no puedo decirle porque usted no esta utilizando https

MORALEJA: Utilice https para su sitio y mejore sus datos de referencia!


9

• Conección SMTP TLS GUI en gmail

• Uso de certificados confiables para servidores de correo

Google …


10

No hay

codificación

Con un certificado con Encriptación

Según Netcraft, el 82% de

servidores aún no tienen un

certificado SSL confiable

https estará presente en muchosdominios

• Google Blogspot

• Google Analytics

• Reddit

• Wikimedia

• .gov

• Wordpress

• yell.com

• Bitly (for URL shorteners)

• Shopify


11

Qué significa ?


12

¿El sitio es seguro?

¿Este sitio esta actualizado y no tiene vulnerabilidades?

¿Tengo el conocimiento de quien el sitio reclama ser?

¿Está este sitio libre de malware?

¿Puedo confiar en este sitio?

Si compro algo en este sitio ¿estoy seguro de su entrega?

Alguien tiene el control del dominio . . .

Los datos estan codificados

Pero ¿quien controla el dominio?¿Quién puede solicitar un certificado para dean.example.com?

• Dean Coclin, es el autor del contenido y el operador lógico del orígen de dean.example.com

• Example.com, es un proveedor de servicios de internet a Dean Coclin

• CDN Corp, una compañía que proporciona servicios SSL/TLS a example.com, que no los ofrece directamente

• Marketing Inc, es la compañia responsable por el diseñomantenimiento del sitio en nombre de Dean Coclin

• Payments LLC, es la compañia responsable de manejar órdenesy todos los detalles financieros de dean.example.com

• DNS Org, es la compañia que opera los servicios de DNS ennombre de Dean Coclin

• Mail Corp, es la organización que maneja los registros MX a la cual dean.example.com corresponde


13

¿QUÉ

DEBERÍA IR

EN EL

CAMPO

“O”?

¿Qué significan estas señales?


14

Consistente, Universal, Global, Sin curva de aprendizaje

Importa la consistencia


15

http o https?


16

Estadísticas de la Industria


17

Mayo 2016: 4.84 M certs

+39% de crecimiento desde Mayo

del 2015

DV OV EV

76.1% 21% 3.1%

Los sitios más concurridos del Web


18

DV; 76%

OV; 21%

EV; 3%

All Certificates

DV OV EV

DV; 47%

OV; 37%

EV; 16%

Top Million

DV OV EV

Fuente: Netcraft Data May 2016

Symantec: Líder en Website Security


19

Cuota del Mercado

0%

5%

10%

15%

20%

25%

30%

35%

40%

Symantec Comodo GoDaddy Digicert Globalsign Entrust Startcom Let's Encrypt Other

Top Million Netcraft Sites

Market Share - Top Million

El Cambio de los Certificados a Let’s Encrypt

21

0

200

400

600

800

1.000

1.200

1.400

1.600

Comodo StartCom Symantec GoDaddy WoSign GlobalSign Other DigiCert QuoVadis Unizeto NetworkSolutions

Trustwave Entrust.net TAIWAN-CA

Nu

mb

er

of

cert

ific

ate

s

Source of gained certificates

Central & South America Market Share

22

Symantec Symantec; 10173; 12%

Symantec RapidSSL; 6389; 7%

Symantec GeoTrust; 3847; 4%Symantec Thawte;

2904; 3%

Comodo; 19641; 23%

Let's Encrypt; 12114; 14%

GoDaddy; 9952; 12%

GlobalSign; 6567; 8%

DigiCert; 4332; 5%

StartCom Ltd.; 4324; 5%

Other; 3983; 5%Entrust; 858; 1%

Symantec SymantecSymantec RapidSSLSymantec GeoTrustSymantec ThawteComodoLet's EncryptGoDaddyGlobalSignDigiCertStartCom Ltd.OtherEntrust

Colombia SSL certificate growth

23

0

500

1000

1500

2000

2500

3000

3500

4000

4500

SSL Certificates

Predicciones de Dean’s

El uso de los certificados seguirá creciendo6.5 a 7.5M en los próximo 12 meses

• Impulsados por las iniciativas https y EE!

Los servidores SNI tendran un aumento en crecimiento

El uso de SHA-1 usage disminuirá notablemente (y también XP!)

Phishing utilizando certificados DV seguirá aumentando

Chrome estará al margen de cambios y medidas de cumplimiento

IPv6 será finalmente adoptado para búsquedas CRL y OCSP


24


25


2 Phishing


Phishing


26

61%16%

6%

6%

5%

6%

Certificados Phishing encontrados por Netcraft(Mayo del 2016)

Comodo

GoDaddy

Let's Encrypt

Symantec

Globalsign

Other

El 35% de los certificados

de Comodo fueron

expedidos por Cloudflare

http://toolbar.netcraft.com/stats/certificate_authorities

Ejemplos de sitios de software malintencionado


27

Let’s Encrypt

• paypal-4updates.com

• icloud-unlock.pl

• icloud-lostapple.info

• www.verif-icloud.com

• restore-amazon.com

• intl-paypal.hotchat.online

Comodo

• net-flix.one

• amazom.ml

• paypal-security.center

• p.aypal.info

• safe-payment.online

• pypal-account-information.info

Los phishers saben cómo utilizar SSL correctamente!


28

Resumen

DV: Fácil de obtener para usuarios legítimos y cibercriminales

Los Phishers estan convirtiéndose en expertos en la creación de dominios que parecidos a los originales

• xn—80aj7b8a.com еьау.com

• xn—secure-ank-yzi.com secure-ьank.com

• ltunes.com

• paypl.com

• ww.vv-paypal.com

• icl0ud.ru.com

El ecosistema de partners deberá trabajar en conjunto.


29


30


2 Phishing

3 Actualizaciones del foro CA/B

¿Cuanto sabes acerca del foro CA/B?

VERDADERO O FALSO:

• Cualquiera puede participar en el foro CA/B Forum como miembro votante

• El último miembro que se ha incorporado al foro es de Argentina

• Firefox permite certificados de corto plazo

• Los requerimientos para Code Signing Requirements entrarán en efecto el añoque viene

• Se creó un grupo de trabajo a fin de empujar el cambio de la gobernanza del foro

• La votación para reportar los certificados que son erróneamente expedidos fracaso

31

Foro CAB : Novedades de este año

Miembros nuevos: Amazon, Let’s Encrypt

Miembros suspendidos: Visa, Cisco

Se creó un grupo de trabajo a fin de empujar el cambio de la

gobernanza del foro

Reuniones F2F en Zurich, Istanbul, Scottsdale, Bilbao

Próximas reuniones en Redmond, Cupertino (2017), Berlin

Todas las CAs públicas sean o no miembros del Foro CAB,

deben adherirse a las pautas!


32

2014 2015 2016

Temas de Actualidad

Grupo de trabajo en Code Signing: Requisitos de Base

• Voto Fallo!

• Microsoft adoptará BRs desde el 1ero de Febrero del 2017

Certificados de Corto Plazo

• Voto Fallo!

CAA

SHA-1 para procesador de pagos

EV Wildcards

Google y EV


33


34

Gracias!Dean [email protected],

@chosensecurity

foro ca/browser y tendencias en la industria · 2018-05-18 · funciones avanzadas solamente...

Documents