VOLVER A NOTICIAS
InvestigaciónCrítico

Programa Root de Chrome Elimina Validación de Dominios Inseguros para Certificados HTTPS

4 min de lecturaFuente: Google Security Blog

El Programa Root de Chrome y el CA/Browser Forum retirarán 11 métodos obsoletos de validación de dominio (DCV) para certificados HTTPS antes de marzo de 2028, reforzando la seguridad con alternativas criptográficas automatizadas.

Programa Root de Chrome Refuerza la Seguridad HTTPS con la Eliminación de Métodos de Validación de Dominio Obsoletos

Mountain View, CA – El Chrome Root Program y el CA/Browser Forum han anunciado una mejora significativa en la seguridad de la web moderna al adoptar nuevos requisitos que eliminarán gradualmente 11 métodos legacy de Validación de Control de Dominio (DCV) para certificados HTTPS. Estos cambios, impulsados por las recientes votaciones del CA/Browser Forum (SC-080, SC-090 y SC-091), buscan eliminar prácticas de verificación más débiles —como la validación por correo electrónico, teléfono o correo postal— en favor de alternativas automatizadas y criptográficamente verificables. La transición completa se espera para marzo de 2028, dando tiempo a los operadores de sitios web para adaptarse.

¿Por Qué es Importante la Validación de Control de Dominio?

La Validación de Control de Dominio (DCV) es un proceso de seguridad crítico que garantiza que los certificados TLS se emitan únicamente a operadores legítimos de dominios. Sin una DCV robusta, los atacantes podrían obtener fraudulentamente certificados para dominios que no controlan, permitiendo ataques de suplantación (spoofing) o interceptación de tráfico. Históricamente, las Autoridades de Certificación (CA) dependían de métodos de validación indirectos, como consultas WHOIS o verificación por correo electrónico, que han demostrado ser vulnerables a exploits (por ejemplo, el ataque RCE a dominio de WatchTowr).

Los métodos modernos de DCV utilizan mecanismos de desafío-respuesta, como colocar un valor aleatorio en un registro DNS TXT o emplear el protocolo Automated Certificate Management Environment (ACME) (RFC 8555). Estos enfoques ofrecen garantías más sólidas y auditables de la propiedad del dominio, al tiempo que permiten la automatización para una gestión más rápida del ciclo de vida de los certificados.

Métodos de Validación Obsoletos

Los siguientes métodos legacy de DCV serán eliminados bajo los nuevos requisitos:

Validación Basada en Correo Electrónico (Retirada)

  • Correo electrónico, fax, SMS o correo postal al contacto del dominio
  • Correo electrónico, fax, SMS o correo postal al contacto de la dirección IP
  • Correo electrónico construido al contacto del dominio
  • Correo electrónico al contacto de DNS CAA
  • Correo electrónico al contacto de DNS TXT

Validación Basada en Teléfono (Retirada)

  • Contacto telefónico con el contacto del dominio
  • Contacto telefónico con el contacto telefónico del registro DNS TXT
  • Contacto telefónico con el contacto telefónico de DNS CAA
  • Contacto telefónico con el contacto de la dirección IP

Validación por Búsqueda Inversa (Retirada)

  • Validación de dirección IP
  • Búsqueda inversa de dirección

Impacto y Cambio en la Industria

Aunque estos cambios son transparentes para los usuarios finales, reducen significativamente las superficies de ataque al eliminar la dependencia de señales de validación indirectas o desactualizadas, como datos WHOIS obsoletos o infraestructura heredada. Este cambio se alinea con la hoja de ruta «Moving Forward, Together» de Google, presentada en 2022, que enfatiza la modernización de la infraestructura de seguridad mediante la automatización y protocolos estandarizados como ACME.

Para los operadores de sitios web, la eliminación gradual ofrece un período de transición de varios años para adoptar métodos de DCV más robustos. Se recomienda a las organizaciones:

  • Migrar a la emisión de certificados basada en ACME (por ejemplo, Let’s Encrypt) para una validación automatizada y criptográficamente segura.
  • Auditar los flujos de trabajo existentes de emisión de certificados para identificar y reemplazar los métodos de DCV obsoletos.
  • Utilizar desafíos basados en DNS (por ejemplo, registros DNS TXT) para una verificación de dominio más resiliente.

Implicaciones de Seguridad más Amplias

Esta iniciativa forma parte de un esfuerzo más amplio de la industria para elevar el nivel mínimo de seguridad de los certificados HTTPS. Al retirar los métodos de validación más débiles, el CA/Browser Forum y el Chrome Root Program reducen el riesgo de emisión fraudulenta de certificados, que de otro modo podría habilitar ataques de man-in-the-middle (MITM) o suplantación de dominios. Los cambios también promueven agilidad y resiliencia en la gestión de certificados, permitiendo respuestas más rápidas a amenazas emergentes.

A medida que la web evoluciona, estas actualizaciones garantizan que los mecanismos de confianza mantengan el ritmo de los desafíos de seguridad modernos, beneficiando a todos los usuarios, independientemente del navegador o plataforma.

Lecturas Adicionales:

Compartir

TwitterLinkedIn