Riesgo de seguridad en productos de intercepción de conexiones HTTPS

Investigadores de la Universidad de Michigan, la Universidad de Illinois Urbana-Champaign, Mozilla, Cloudflare, Google, de la Universidad de California Berkeley y del Instituto Internacional de Ciencias de Cómputo, publicaron el estudio “The Security Impact of HTTPS Interception“ en el que advierten que el uso de soluciones de seguridad y middleboxes para la intercepción de las conexiones HTTPS reduce la seguridad de la conexión e introduce graves vulnerabilidades.

Mientras por un lado se trabaja por endurecer HTTPS para una conexión segura, por el otro los antivirus y middlebox (appliance que manipula el tráfico de red con objetivos distintos al de re-envío de paquetes) interceptan cada vez más las conexiones HTTPS para detectar y bloquear malware que usa conexiones HTTPS a servidores maliciosos.

El CERT de los EEUU ha tomado el informe para alertar que la intercepción HTTPS debilita la seguridad TLS (Transport Layer Security), lo que afecta a todos los sistemas detrás de un producto de interceptación HTTPS.

Muchos productos de inspección HTTPS no verifican correctamente la cadena del certificado del servidor antes de volver a cifrar y re-enviar los datos del sistema cliente, permitiendo la posibilidad de un ataque MiTM (Man-in-The-Middle).

Los errores de verificación de la cadena del certificado se reenvían con poca frecuencia al sistema cliente, haciendo que el sistema cliente suponga que las operaciones se realizaron según lo previsto con el servidor correcto.

El producto de inspección HTTPS debe realizar las validaciones HTTPS necesarias ya que administra los protocolos, cifrados y la cadena del certificado. El fallo en la validación HTTPS o en la transmisión del estado de validación aumenta la probabilidad de que el sistema cliente sea víctima de ataques MiTM por terceros malintencionados.

Las organizaciones que utilizan un producto de inspección HTTPS o middleboxes deben verificar que valide correctamente las cadenas de certificados y transmita cualquier advertencia o error al sistema cliente. Pueden usar https://badssl.com para verificar si el producto de inspección HTTPS valida adecuadamente los certificados y evita las conexiones a sitios que usan criptografía débil. Un resultado que impida la conexión a Internet del sistema cliente será suficiente para rechazar la conexión mediante un producto de inspección HTTPS.