Una vulnerabilidad crítica ha sacudido la confianza en SSL.com, una Autoridad Certificadora (CA) reconocida por todos los principales navegadores. El fallo, reportado públicamente y ya reconocido por la entidad afectada, permitía obtener certificados válidos sin demostrar control real del dominio objetivo, con potenciales consecuencias graves para la seguridad web a nivel global.
Un fallo en la validación de control de dominio (DCV)
El problema residía en el proceso de Validación de Control de Dominio (DCV, por sus siglas en inglés) que utilizan las CA para verificar que el solicitante de un certificado tiene realmente autoridad sobre el dominio. En este caso, SSL.com cometía un error al permitir que la verificación por correo electrónico, utilizando registros MX (servidores de correo), fuese manipulada.
Un atacante podía crear un registro TXT para indicar una dirección de correo en un dominio como @aliyun.com (similar a Gmail o iCloud), y mediante la validación 3.2.2.4.14 del estándar Baseline Requirements (BR) emitir un certificado para el dominio completo del proveedor de correo. Es decir, sin ser administrador ni tener control sobre el dominio, lograba que SSL.com validara dominios como aliyun.com o www.aliyun.com como si fueran suyos.
Ejemplo práctico del fallo
Según la denuncia publicada en Bugzilla de Mozilla, un investigador demostró cómo SSL.com llegaba a emitir certificados para aliyun.com simplemente por haber podido recibir un correo de validación en una cuenta de dicho proveedor. El error estaba en que SSL.com interpretaba el dominio del remitente como un dominio verificado.
El resultado fue la emisión errónea de certificados válidos para dominios de terceros —sin que sus propietarios tuvieran conocimiento ni dieran autorización.
¿Qué implica este fallo?
Una CA es responsable de asegurar que los certificados digitales —esenciales para el protocolo HTTPS— solo se emiten a entidades legítimas. Un certificado válido permite cifrar conexiones, pero también verifica la identidad del sitio web. Si un atacante logra un certificado válido para un dominio ajeno, puede:
- Suplantar sitios web legítimos sin levantar alertas en los navegadores.
- Realizar ataques man-in-the-middle (MITM) sin ser detectado.
- Difundir malware o sitios de phishing con apariencia completamente fiable.
¿Quiénes están en riesgo?
El fallo afecta especialmente a:
- Organizaciones con direcciones de correo expuestas públicamente.
- Dominios sin registros CAA (Certification Authority Authorization), que permiten limitar qué CA puede emitir certificados para ellos.
- Entornos donde no se controla adecuadamente el acceso al correo electrónico corporativo.
¿Qué medidas tomar?
Aunque SSL.com ha revocado el certificado emitido erróneamente y ha suspendido el método DCV afectado, la situación exige acciones proactivas por parte de los administradores de sistemas y responsables de seguridad:
- Configurar registros CAA para definir qué CAs están autorizadas a emitir certificados para los dominios propios.
- Monitorizar los registros de Transparencia de Certificados (CT Logs) para detectar certificados no autorizados.
- Auditar los correos electrónicos utilizados para validación (como
admin@,webmaster@,info@). - Revisar la política de validación de sus proveedores de certificados y evaluar si es necesario migrar a una CA con procesos más rigurosos.
- Implementar sistemas de monitoreo de certificados, como TrackSSL, para recibir alertas en caso de emisiones sospechosas.
¿Ayuda la revocación de certificados?
La revocación, ya sea mediante CRL (Listas de Revocación) o el protocolo OCSP, es una herramienta útil pero limitada. Muchos navegadores no verifican en tiempo real si un certificado ha sido revocado, lo que significa que un certificado comprometido puede seguir siendo aceptado por los usuarios. Por eso, es crucial complementar con vigilancia continua y políticas de seguridad robustas.
En conclusión
Este incidente refuerza un principio clave: la seguridad de un sitio web no depende solo del cifrado HTTPS, sino también de la confianza en la cadena de certificación. Una falla en el proceso de verificación por parte de una Autoridad Certificadora puede abrir la puerta a ataques sofisticados, sin que los usuarios puedan percibirlo.
Mientras SSL.com promete un informe preliminar antes del 21 de abril de 2025, este episodio debería ser un llamado de atención para reforzar las defensas digitales más allá de confiar ciegamente en los candados verdes del navegador. La vigilancia activa y las buenas prácticas siguen siendo el mejor blindaje frente a una infraestructura que, por muy crítica que sea, sigue siendo falible.
