Certificados de Marca Verificada (VMC)

Uno de los grandes problemas con el correo es el phishing, donde en muchos casos se suplanta la identidad de una empresa conocida (un banco, empresa de hosting, etc.) para guiarte a una página donde puedan obtener tus credenciales, información de tu tarjeta, etc.

Los Certificados de Marca Verificada (VMC por sus siglas en inglés) representan un esfuerzo adicional para tratar de identificar al remitente y evitar que puedas considerar como válidos correos fraudulentos.

Para el usuario, se traducirá en que se mostrará una imagen de la marca asociada al remitente en los correos electrónicos.

Así se vería en Gmail el logotipo de "Bank of America" antes y después de BIMI.
Vía https://www.oppidumsecurity.com/blog/bimi-un-sceau-sur-vos-e-mails
Imagen del blog de Oppidum Security: logo de «Bank of America» con y sin BIMI

Qué son los Certificados de Marca Verificada (VMC)

Los VMC técnicamente son como un certificado de tipo EV (ver «Tipos de certificados de seguridad») con algunas validaciones extra:

  • Hay que confirmar que la marca de la empresa y de la imagen que usemos están legalmente registradas.
  • Proporcionar copias notariales de los documentos de identidad que confirmen la identidad de la persona de la organización que solicita el VMC.
  • Una entrevista personal o por vídeo llamada con la Autoridad Certificadora para confirmar que, efectivamente esos documentos son reales y asociados a la persona que solicita el certificado

Nadie dijo que fuera sencillo. Y todo ello para mostrar una imagen al lado del remitente de correo, una imagen verificada, certificada y controlada por la marca, tal y como indica la especificación BIMI (Brand Indicators for Message Identification). Porque aquí está la gracia: en asegurarse de que la imagen que aparece se corresponde con la marca y es ella quien la controla.

Qué es BIMI (Brand Indicators for Message Identification)

Cito:

Los indicadores de marca para la identificación de mensajes o BIMI (por sus siglas en inglés) son una especificación emergente para el correo electrónico que permite el uso de logotipos controlados por la marca en los clientes de correo electrónico compatibles. BIMI aprovecha el trabajo que una organización ha realizado para desplegar la protección DMARC, llevando los logotipos de las marcas a la bandeja de entrada del cliente. Para que el logotipo de la marca se muestre, el correo electrónico debe pasar las comprobaciones de autenticación DMARC, garantizando que el dominio de la organización no ha sido suplantado.

BIMI Group

Y aquí aparece otro concepto sobre el que sustentar BIMI: DMARC.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

El protocolo DMARC (Domain-based Message Authentication, Reporting & Conformance) nos añade un nivel adicional de seguridad en el envío de los correos; es un indicador para decir si he otorgado o no permisos a un servidor para que envíe correos en nombre de un dominio que gestiono, un mecanismo de autenticación de correo electrónico diseñado para otorgar a los propietarios de dominios de correo electrónico la capacidad de proteger su dominio frente a su uso no autorizado. Cuando se recibe un correos, el servidor autentica el mensaje entrante de correo electrónico según las instrucciones publicadas por el propietario del dominio dentro de la entrada DNS. Si el correo electrónico pasa el proceso de autenticación, se entregará y se puede confiar en él. Si falla la verificación, el mensaje de correo electrónico podría ser entregado, puesto en cuarentena o rechazado (según las indicaciones del registro DMARC).

Aunque hay varios conceptos mezclados, muchos de ellos ya se están utilizando de forma habitual (como DMARC o el solicitar un certificado) y el resto es más laborioso que complicado. Baste la siguiente checklist para resumir el proceso.

Checklist para utilizar VMC y BIMI

  1. El dominio desde el que envíes los correos debe tener implementado DMARC con “p=quarantine” o “p=reject”.
  2. El logotipo que utilices debe estar registrado, debe ser una marca registrada
  3. El logotipo que se muestre y al que enlaces, debe ser SVG… pero no cualquiera, debe ser SVG Portable/Secure (SVG-P/S).
  4. Obtén el Certificado de Marca Verificada (VMC) para el dominio.
  5. Indica la entrada DNS de tipo TXT para referenciar los distintos elementos que será la que busquen los proveedores de correo que soporten BIMI:
    default._bimi.[domain] IN TXT “v=BIMI1; l=[SVG URL]; a=[PEM URL]

BIMI es un protocolo relativamente nuevo y hay algunos proveedores de correo importantes que, al menos por ahora, no lo utilizan, notablemente Microsoft y Yahoo. Puedes ver en la página de BIMI Group quienes están adheridos y usando la iniciativa.

Referencias y enlaces

  • BIMI Group. Especificaciones del protocolo BIMI y algunos recursos para crear los registros, archivos SVG, etc.
  • Digicert VMC. Por ahora son, junto con Entrust, la única CA que ofrece VMC.

El Tesoro de EE.UU. puede impedirte registrar un dominio o contratar un certificado

Hay una serie de motivos curiosos por las que te pueden denegar el registro de un nombre de dominio o un certificado SSL. Quizá no te haya tocado, pero si solicitas un certificado que contenga el nombre de alguno de los países que estén en la lista negra del gobierno de los EUA, seguramente te lo denieguen. Si vendes alfombras persas y tu negocio se llama alfombrasdeiran.com date por fastidiado si vas a pedir un certificado a alguna empresa estadounidense, como puede ser Digicert (Thawte, Geotrust…). Es más, depende de la extensión, puedes tener problemas también a la hora de solicitar el propio dominio, por ejemplo si el titular es de Irán y quiere pedir un .info, gestionado por Afilias, recién comparada por Donuts Inc.

Todas las empresas estadounidenses, incluidas los registries o las Autoridades Certificadoras, están obligadas a cumplir las leyes de EUA, y esto incluye las sanciones y limitaciones a las que obliga la OFAC (Office of Foreign Assets Control – Oficina de Control de Activos Extranjeros)

[…] we are not permitted to provide services to, nor engage in any transactions with countries, regions, entities, or individuals targeted by applicable US trade sanctions (OFAC listings), whether directly or indirectly, unless authorized under applicable laws.

De hecho, la propia ICANN es una empresa estadounidense, aunque desde el 6 de enero de 2017, se finaliza el último acuerdo formal con el Gobierno de Estados Unidos (ver «La relación entre la ICANN y el Gobierno de Estados Unidos»).

Lo dicho, curioso.

¿Sirve para algo la garantía de un certificado SSL?

La respuesta corta sería: no. La garantía de los certificados no sirven realmente para nada porque es prácticamente imposible que se hagan efectivas. Digamos que la garantía funciona como el pan «de pueblo» o la comida «casera», no deja de ser un reclamo.

Certificados en Comodo-apetekan181
La garantía de los certificados SSL

¿En qué consiste y qué cubre la garantía de un certificado?

La garantía del certificado SSL cubre cualquier daño que pueda derivarse de la emisión indebida de un certificado a una entidad fraudulenta. Por ejemplo, si un usuario se conecta a un sitio web fraudulento pero ha obtenido un certificado de una autoridad de certificación reconocida, ese es un caso en el que la garantía del certificado puede aplicar porque ha sido culpa de la Autoridad Certificadora (CA).

Ojo, la garantía cubre al usuario final, no al propietario del certificado. En este sentido, el concepto de la garantía del SSL puede ser engañosa porque el propietario del certificado SSL no puede reclamarlo. La garantía se aplica sólo a los usuarios finales. Si alguien compra un producto de un sitio HTTPS seguro y esto lleva a una pérdida de dinero. En este caso, el usuario final tiene derecho a reclamar una compensación de garantía. La CA cubrirá las pérdidas de acuerdo a sus términos y condiciones.

En SSL Dragon mencionan el caso de DigiNotar, que entregó un certificado para Google.com a una empresa que no era Google.

En este artículo Scott Helme, Do SSL warranties protect you? As much as rocks keep tigers away… tenéis más detalles sobre este asunto.

Utilidades SSL

Los proveedores de hosting hacen que la petición e instalación de los certificados SSL sea transparente (en un mundo ideal) y la mayoría de la gente no sabe ni el certificado que solicita; ellos solo quieren que vaya por seguro y cuando falla…

A la hora de chequear el estado de un certificado instalado, decodificar los CSR (Certificate Signing Request) o convertir el certificado a otro formato hay diversas webs que nos ofrecen utilidades.

  • SSL Labs de Quality Labs. Sobre todo en el testeo del servidor aporta muchísima información útil.
  • Digicert SSL Tools. Digicert es la principal Autoridad Certificadora (CA) y pone a nuestra disposición algunas utilidades: generar y chequear CSR, comprobación del sitio web, etc.
  • SSL Certificate Tools. El nombre lo dice todo ;) Es más sencillo que las anteriores pero tiene cositas como el conversor de certificados.

Cual es el proceso de validación de un certificado SSL

En otras entradas, hemos hablado de los tipos de certificados que existen y como lo que se valida y el proceso de validación para cada uno de ellos es diferente. Resumo los tipos de certificados:

  1. DV o Validación de Dominio
  2. OV o Validación de Organización
  3. EV o Validación Extendida

El certificado de nivel más alto, incluye la validación requerida por el nivel anterior. Es decir, un certificado OV, requiere una validación de la organización pero también del dominio, y un EV, además de esa validación extendida, validará también la organización y el dominio. Por lo tanto, el proceso de validación de cualquier certificado antes de concederlo siempre será:

  • Se valida el dominio para el que se solicita el certificado. Esto es necesario para los certificados DV, OV y EV y suficiente para un SSL de tipo DV.
  • Se valida la organización para la que se solicita el certificado. Necesario para los certificados OV y EV y suficiente para un SSL de tipo OV
  • Se realizan validaciones adicionales sobre el solicitante del certificado para los SSL de tipo EV.

¿Cómo valido un dominio?

Para validar el dominio, la Autoridad Certificadora (CA) debe asegurarse de que tenemos acceso a la gestión del dominio.

Hay 3 tipos de validaciones: DNS, FILE o EMAIL:

  • Para la validación DNS tendrás que añadir una cadena concreta en un registro DNS.
  • En el caso de FILE, es similar: hay que subir un archivo en una ruta concreta del dominio.
  • Por EMAIL, se enviará un correo con un enlace a una dirección de email fija (admin@example.com…)

Lo normal es que todo este proceso sea transparente para ti si la gestión de las DNS y del certificado los tienes en el mismo hoster.

¿Cómo se valida la organización del certificado?

Al solicitar certificados OV y EV, se pide información completa de la organización y de un Contacto Administrativo dentro de la organziación que respodnerá por la validez de los datos. Con esa información la CA debe asegurarse que los datos son válidos y para ello utiliza la información de entidades y registros públicos, como puede ser el registro mercantil u otros registros similares (p.ej. Google Business o Páginas Amarillas).

Una vez la CA se ha asegurado de la existencia jurídica y operativa de la entidad se realiza una llamada telefónica al teléfono de contacto de la empresa para asegurarse de que todo es correcto.

Para validar una organización, entonces, lo que se se hace es:

  • La CA comprueba que la empresa está registrada y operativa consultando información de autoridades competentes (registro mercantil, etc.)
  • Se valida el domicilio fiscal de la organización
  • Se localiza un teléfono de esa organización y se realiza una llamada de comprobación
  • Se aseguran de que el dominio para el que se solicita el certificado pertenece a la organización

Aunque el proceso está automatizado en gran medida, la concesión del certificado no es inmediata (como puede ser la de un DV), y el proceso puede llevar varios días. Lo bueno es que no tendremos que pasar de nuevo por todo el proceso si solicitamos nuevos certificados para la misma organización: la organización se considera validada durante 27 meses.

Añado un par de enlaces para mostrar cómo hacen esta validación Digicert y Sectigo, dos de las mayores CA:

Y, ¿qué es eso de validación extendida? ¿Cómo se validan los EV?

Vale… me has pillado. Aquí simplemente se indica que las comprobaciones son «más exhaustivas» y yo me remito a lo que diga la guía de CA/Browser forum para la validación extendida (v 1.6.7), llámame cobarde si quieres.

¿Has dicho CA/Browser forum?

CA/Browser forum es el consorcio que agrupa a Autoridades Certificadoras, constructores de software (como Mozilla o Google) y otras entidades relacionadas con las certificaciones y que se encarga de emitir guías y requerimientos que son vinculantes para los miembros del foro.