La última actualización de Chrome añade una función de seguridad rigurosa que puede provocar advertencias de certificado al acceder a sitios internos. Conozca los detalles y cómo mitigar este aviso en los sistemas Windows.
Los fabricantes de navegadores siempre publican actualizaciones destinadas a mejorar la usabilidad y la seguridad. La mayoría de los cambios son benignos, pero algunos pueden producir estragos, incluso si son bien intencionados (como bloquear applets java cuando se accede a sitios internos críticos.
La última versión de Google Chrome (58), publicada el 20 de abril, incluye un nuevo mecanismo de comprobación para sitios web seguros (a los que se accede mediante https. Esta comprobación analiza el certificado SSL utilizado por el sitio para encriptar el tráfico y genera una advertencia si el certificado no incluye el nombre común del sitio web (por ejemplo, website.company.com) como nombre alternativo subjetivo (SAN), que es una palabra de fantasía para un alias. Esta comprobación puede ser suprimida en sistemas Windows (al menos temporalmente), y explicaré cómo hacerlo a continuación.
La advertencia aparece de la siguiente manera:
A continuación, los usuarios deben hacer clic en «Avanzado» para poder seguir accediendo a la página web:
Al hacer clic en el enlace Proceder a… permitirá el acceso al sitio.
Los certificados emitidos por una autoridad de certificación de confianza como Entrust o Verisign (y que generalmente se aplican a sitios web públicos) deberían estar bien, pero espera empezar a ver este error si utilizas Chrome con sitios web internos que utilizan certificados autofirmados o certificados emitidos por una autoridad de certificación interna.
Más información sobre ciberseguridad
¿Qué es un nombre alternativo sujeto?
Como he dicho, un nombre alternativo subjetivo (SAN) es como un alias que puede permitir el uso de varios nombres de servidor o host en un solo certificado. Digamos que usted tiene un sitio web con un nombre común de website.company.com. El sitio web puede dirigir el tráfico a uno de los dos sitios que usted dirige; un sitio principal en Boston (boston.company.com) y un sitio secundario en Los Ángeles (la.company.com.
Le gustaría que cada sitio pudiera gestionar el tráfico si el otro no está disponible, por lo que emite un certificado SSL para company.com con dos SAN: boston.company.com y la.company.com.
Sin embargo, en este caso, Chrome emitirá el error anterior si su certificado SSL no incluye una SAN de website.company.com, ya que es el nombre común al que se está conectando.
¿Por qué Google hizo este cambio?
A primera vista, esto puede parecer ilógico. Si Google está intentando proteger a los usuarios contra sitios web falsificados, ¿no podrían los operadores de sitios web maliciosos simplemente añadir el nombre común como una SAN y evitar el problema?
Bueno, podrían, pero en este caso no va a funcionar. En primer lugar, no pueden añadir el nombre común de otra persona a su certificado porque ninguna autoridad pública de certificación lo permite. Chrome 58 ni siquiera comprueba el nombre común del sitio cuando se accede a él, sino que se centra exclusivamente en el certificado mirando el código ASCII implicado y no los caracteres reales.
Verá, diferentes juegos de caracteres en diferentes idiomas pueden parecer similares, pero en realidad son vistos como entidades separadas por una computadora. Esto puede permitir que se registren dominios falsos utilizando otro nombre o conjunto de caracteres para engañar a los visitantes. Chrome 58 mitiga este problema al requerir una SAN que coincida con el nombre común, que no coincidirá con los caracteres que se parecen.
¿Cómo se puede resolver esto?
Para un solo usuario esto es probablemente un problema manejable, pero molesto. Una vez que me dirigí a un sitio, no volví a recibir el aviso, aunque vi una advertencia de seguridad roja asociada con el certificado cuando volví al sitio.
Para una empresa entera, sin embargo, una solución debe ser puesto en su lugar o de lo contrario el departamento de TI va a obtener un montón de llamadas (que es probablemente mejor que los usuarios alegremente ignorando las advertencias de seguridad, si se piensa en ello de forma lógica.
Si eres un administrador de sistemas, siempre puedes reducir las instalaciones de Chrome, pero no lo recomiendo. Se perderá otras actualizaciones de seguridad en el futuro. Si obtiene este error al acceder a sitios internos, lo mejor es que se arremangue y actualice los certificados SSL de esos sitios para incluir el nombre común del sitio web como una SAN.
Al menos puedes ganar algo de tiempo con los sistemas Windows. Es posible implementar o desplegar una clave de registro para suprimir este aviso (¡asegúrese de que sabe lo que está haciendo al editar un registro del sistema!)
Ejecute regedit y acceda a esta clave de registro:
HKEY_LOCAL_MACHINE\NSoftwarePolíticasGoogleChrome
Crear una subclave REG_DWORD llamada EnableCommonNameFallbackForLocalAnchors y darle un valor de 1:
También puede crear un archivo de registro personalizado (.reg) y completarlo con los siguientes datos:
Al hacer doble clic en este archivo y responder afirmativamente, se agregará automáticamente esta información al registro del sistema. Es una mala idea enviar un archivo de este tipo a los usuarios para pedirles que lo ejecuten (Outlook probablemente lo bloqueará de todos modos), así que empújelo a través de la directiva de grupo de Active Directory, ejecute la configuración a través de SCCM (si corresponde) o arregle un script para instalarlo. Ten en cuenta que es necesario reiniciar Chrome para que este cambio tenga efecto.
Sin embargo, esta corrección sólo seguirá siendo válida hasta la versión 65 de Chrome, por lo que deberá actualizar todos los certificados SSL sobre los que tenga autoridad administrativa.
Los controles de seguridad de esta naturaleza pueden generar confusión y frustración, pero es importante tener en cuenta que en su mayoría están bien pensados y son necesarios. La intención de Google aquí es proteger a los usuarios, pero probablemente algún tipo de advertencia avanzada (como un mensaje en Chrome 57 de que Chrome 58 incluiría esta función) tendría sentido la próxima vez.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
Inscríbase hoy :