LONDRES – (27 de junio de 2018) – El Consejo de Seguridad de la Autoridad de Certificación (CASC), un grupo de defensa comprometido con el avance de la seguridad de sitios web y transacciones en línea, anunció en el evento CA / Browser Forum en Londres el lanzamiento del Protocolo de Londres – una iniciativa para mejorar el aseguramiento de identidad y minimizar la posibilidad de actividad de phishing en sitios web cifrados con certificados de organización validada (OV) y de validación extendida (EV), que contienen información de identidad de la organización (certificados de identidad).

Tras el reciente aumento de los ataques de phishing, cinco autoridades de certificación (CA) de CASC desarrollaron el Protocolo de Londres para reforzar la distinción entre los sitios web de identidad y los sitios web cifrados por certificados de dominio validado (DV), que carecen de identidad de organización.

Las CA participantes incluyen Entrust Datacard, Comodo CA, GlobalSign, GoDaddy y Trustwave.

El Protocolo de Londres se implementará en tres fases durante un período de 10 meses:

  • Fase 1 (junio – agosto de 2018): las CA participantes desarrollan detalles del protocolo y viabilidad de la investigación de la implementación y pueden comenzar a implementar algunos procedimientos básicos.
  • Fase 2 (septiembre – noviembre de 2018): las CA participantes aplican los conceptos de protocolo a los sitios web de identidad de sus propios clientes de acuerdo con sus propias políticas y procedimientos, comparten comentarios con otras CA participantes, refinan el protocolo según lo justifique la experiencia.
  • Fase 3 (diciembre de 2018 – febrero de 2019): las CA participantes actualizan las políticas y los procedimientos del protocolo, y aprueban el plan para que todas las CA participantes apliquen políticas y procedimientos uniformes de forma voluntaria.
  • Fase 4 (marzo de 2019) Las CA participantes remiten el informe y las recomendaciones al CA / Foro del navegador para posibles cambios en los requisitos básicos.

“En esencia, el Protocolo de Londres está diseñado para volver a la raíz de los certificados EV y OV que se crearon para brindar a los consumidores en línea una mayor confianza y seguridad”, dijo Tony Perez, jefe de productos de seguridad de GoDaddy.

Una vez que se complete la tercera fase del Protocolo, se publicará el resultado del Protocolo de Londres para mejorar los procesos, mantener la integridad de los sitios web auténticos y aumentar la conciencia del usuario, especialmente cuando se trata de identificar un sitio web auténtico de un ataque de phishing.

“Si bien no se puede argumentar que el advenimiento de Internet cifrado es un movimiento en la dirección positiva, desafortunadamente ha creado confusión entre los usuarios y ha fomentado una mayor amenaza de ataques de phishing con más sitios web ‘asegurados’ con certificados DV anónimos”, dijo Christian. Simko, vicepresidente de marketing para América y EMEA en GlobalSign.

Aunque es asequible y, a menudo, automático, la emisión de certificados DV no requiere que las CA verifiquen la identidad de la organización. Muchos certificados DV se emiten anónimamente sin información de contacto legítima, lo que facilita que los falsificadores puedan obtenerlos con fines fraudulentos.

“La seguridad se maneja mejor a través de capas, ninguna capa es 100% impenetrable”, dijo Bill Holtz, CEO de Comodo CA.

Por el contrario, antes de que se pueda emitir un certificado OV o EV, se requiere que las entidades emisoras de certificados verifiquen la información de la organización utilizando documentos verificables, como una licencia comercial emitida por el gobierno, proporcionando un nivel adicional de validación al proceso.

“Con base en nuestra investigación, descubrimos que el anonimato en Internet engendra una actividad nefasta”, dijo Chris Bailey, vicepresidente de estrategia y desarrollo empresarial para servicios de certificación de Entrust Datacard. “Creemos que Internet será más seguro para los usuarios si los sitios que visitan están identificados en la organización”.

Para mejorar la seguridad de Internet y el conocimiento de estos certificados de alta seguridad, las CA participantes colaborarán en el Protocolo de Londres para encontrar las mejores prácticas de seguridad para garantizar la identidad y minimizar el phishing en los sitios web de identidad.

“A medida que los ciberdelincuentes continúen siendo más hábiles para eludir los controles de seguridad que protegen la integridad del sitio web, los certificados basados ​​en identidad serán cruciales para experiencias en línea más seguras”, dijo Robert J. McCullen, CEO de cumplimiento en Trustwave.

Recursos Relacionados:

Para obtener más información sobre CASC y sus miembros, visite: https://casecurity.org/ .

Sobre el CASC

El Consejo de Seguridad de la Autoridad de Certificación está compuesto por autoridades certificadoras líderes a nivel mundial que están comprometidas con la exploración y promoción de las mejores prácticas que impulsan la implementación confiable de SSL y las operaciones de CA, así como la seguridad de Internet en general. Si bien no es una organización que establece normas, el CASC trabaja en colaboración para mejorar la comprensión de las políticas críticas y su posible impacto en la infraestructura de Internet.

¿Por qué preferir Entrust Datacard como CA de confianza de la mano de BlueFortress?

  • Solución unificada para la confianza pública y privada.
  • Soluciones inteligentes de identidad, autenticación y encriptación.
  • Asegure usuarios conectados, sistemas y cosas.
  • El más amplio soporte de solicitud.
  • Solución comprobada y de confianza para grandes empresas.

 

Fuente: https://casecurity.org