La infraestructura de confianza de Internet, en la que se basan las conexiones seguras (HTTPS), depende en gran medida de las Autoridades de Certificación (AC) y de los navegadores que confÃan en ellas. Sin embargo, los procesos de regulación, supervisión y consenso entre ambas partes a menudo reflejan tensiones y discrepancias, especialmente en foros como el CA/Browser Forum (CABF) y espacios de discusión como el Mozilla Forum (Bugzilla).
El CA/Browser Forum: ¿un foro de consenso o de tensiones?
El CA/Browser Forum (CABF) es una organización internacional que reúne a las principales Autoridades de Certificación (como DigiCert o Sectigo) y a los navegadores más importantes (como Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari). Su propósito principal es establecer requisitos de seguridad y prácticas comunes para garantizar la confianza en los certificados digitales que permiten conexiones seguras en la web.
Entre sus logros destacan:
- Definición de estándares para certificados SSL/TLS: Incluyendo los requisitos para certificados de validación extendida (EV) y la reducción de la vigencia máxima de los certificados (actualmente limitada a un año).
- Procesos para la revocación de certificados: Estableciendo mecanismos comunes para manejar certificados comprometidos o mal emitidos.
- AuditorÃas y cumplimiento: Las AC deben cumplir con los estándares acordados y someterse a auditorÃas externas regulares.
Sin embargo, a pesar de ser un espacio de consenso, el CABF no tiene un poder vinculante sobre los navegadores, quienes a menudo toman decisiones unilaterales, incluso contrarias a los acuerdos alcanzados en el foro.
El caso de los navegadores “independientesâ€
Los navegadores, aunque participan activamente en el CABF, mantienen el control absoluto sobre sus propios programas de root stores. Esto significa que cada navegador decide qué AC incluir, qué requisitos imponer y cómo gestionar la confianza en ellas.
Algunos ejemplos recientes ilustran estas tensiones:
- Reducción unilateral de la validez de certificados: En 2020, Apple y Google redujeron la validez máxima de los certificados TLS a 398 dÃas, a pesar de la resistencia de las AC en el CABF, que abogaban por mantener la vigencia de dos años.
- Expulsión de Symantec: Aunque el caso de Symantec (2017) fue ampliamente discutido en el CABF, la decisión final de eliminar sus certificados raÃz de los navegadores fue liderada por Google y Mozilla, quienes actuaron de forma independiente tras encontrar múltiples irregularidades.
- Restricciones regionales: En algunos casos, navegadores como Mozilla han impuesto requisitos especÃficos a AC de ciertos paÃses, como China o Rusia, debido a preocupaciones de seguridad geopolÃtica, sin consultar previamente con el CABF.
Mozilla Forum (Bugzilla): el tribunal público de las AC
Mientras que el CABF es un espacio de consenso entre navegadores y AC, el Mozilla Forum (Bugzilla) actúa como un espacio público y transparente para gestionar la inclusión, supervisión y posible exclusión de las AC en el programa de root stores de Mozilla.
Procesos de aceptación y supervisión
- Solicitud inicial: Una AC que desee ser incluida en la root store de Mozilla debe presentar una solicitud detallada, incluyendo auditorÃas externas, polÃticas de emisión y otros documentos clave.
- Discusión pública: La solicitud se discute en Bugzilla, donde cualquier miembro de la comunidad (expertos en seguridad, usuarios, competidores, etc.) puede participar.
- Evaluación continua: Las AC incluidas están sujetas a supervisión continua. Incidentes de seguridad, como la emisión indebida de certificados o fallos en auditorÃas, se discuten en el foro, y se vota sobre su permanencia.
Limitaciones del modelo “democráticoâ€
Aunque Bugzilla promueve la transparencia y participación pública, el proceso puede ser criticado por su falta de estructura jerárquica y mecanismos de apelación. Las decisiones finales recaen en la comunidad de Mozilla, sin una entidad superior o independiente a la que las AC puedan recurrir. Esto ha llevado a situaciones controvertidas, como la exclusión de AC que han cumplido con los requisitos técnicos, pero enfrentaron presiones polÃticas o mediáticas.
La falta de un ente regulador central
Actualmente, no existe un organismo global que supervise de forma centralizada a las AC y los root stores. Mientras que iniciativas como el CABF buscan establecer estándares, los navegadores tienen la última palabra. Esto crea un ecosistema fragmentado en el que:
- Las decisiones unilaterales de los navegadores pueden generar inconsistencias en los requisitos de seguridad.
- Las AC deben adaptarse a polÃticas dispares para ser incluidas en múltiples programas de root stores.
- Los usuarios y organizaciones enfrentan riesgos de seguridad cuando se descubren brechas en la confianza, como certificados fraudulentos.
Conclusión
El ecosistema de certificados digitales depende de un delicado equilibrio entre las Autoridades de Certificación, los navegadores y las comunidades que supervisan su funcionamiento. Espacios como el CA/Browser Forum y el Mozilla Forum son esenciales para establecer estándares y garantizar la transparencia, pero también revelan las tensiones inherentes a un sistema sin un ente regulador centralizado.
A medida que la seguridad de Internet enfrenta nuevos desafÃos, será crucial encontrar formas de equilibrar la autonomÃa de los navegadores con la necesidad de un enfoque más coordinado y global. Esto podrÃa incluir la creación de un organismo internacional que actúe como árbitro final en disputas y decisiones crÃticas, garantizando la confianza y la estabilidad del ecosistema digital.
