La corroboración de la emisión multiperspectiva (MPIC) es una mejora de seguridad para la emisión de certificados digitales. Requiere que las autoridades de certificación (CA) realicen comprobaciones de validación de dominio y autorización de autoridad de certificación (CAA) desde varias ubicaciones de red geográfica y topológicamente distintas en lugar de solo una.
Este enfoque está diseñado para mitigar el riesgo de ataques sofisticados, en particular el secuestro del protocolo de puerta de enlace fronteriza (BGP), que pueden manipular los métodos tradicionales de validación de una sola ubicación.
Si es un profesional de TI, debería preocuparse por MPIC porque afecta directamente la seguridad y confiabilidad de los certificados digitales utilizados para proteger sitios web, correo electrónico y otros servicios en línea de los que depende su infraestructura de TI.
MPIC hace que sea significativamente más difícil para los atacantes explotar las vulnerabilidades de la red, como BGP o el secuestro de DNS, para obtener certificados de manera fraudulenta para dominios que no controlan. MPIC ayuda a prevenir ataques de intermediarios, violaciones de datos y pérdida de confianza en la presencia digital de su organización.
A medida que MPIC se convierta en un requisito de la industria, los equipos de TI deberán asegurarse de que su infraestructura y procesos sean compatibles con estos nuevos estándares de validación para mantener el cumplimiento y evitar interrupciones del servicio.
MPIC protege los activos digitales de su organización, fortalece su postura de seguridad y garantiza el cumplimiento de las mejores prácticas de la industria en evolución.
La investigación y los incidentes del mundo real han demostrado que los atacantes pueden explotar las debilidades en la infraestructura de enrutamiento de Internet (BGP) para redirigir el tráfico de validación, lo que puede hacer que las CA emitan certificados a partes no autorizadas.
Esta amenaza también se conoce como secuestro de BGP, secuestro de prefijos, secuestro de rutas o secuestro de IP. Es la toma ilegítima de control de grupos de direcciones IP mediante la corrupción de las tablas de enrutamiento de Internet utilizando el protocolo de puerta de enlace fronteriza (BGP).
El 72% de los dominios eran vulnerables a los secuestros de subprefijos BGP, lo que permitía a los atacantes redirigir el tráfico de validación y engañar a las autoridades de certificación (CA) para que emitieran certificados fraudulentos.
El 70% de los dominios eran susceptibles a ataques con el mismo prefijo, lo que permitía a los adversarios hacerse pasar por redes legítimas.
Las cinco CA principales se encontraron vulnerables al fraude de certificados basados en BGP antes de los esfuerzos de mitigación, como se demostró en experimentos de piratería ética.
Frecuencia del secuestro de BGP
Los incidentes de secuestro de BGP ocurren con notable frecuencia y siguen siendo una amenaza persistente para la seguridad global de Internet. Los datos recientes proporcionan una imagen clara de la frecuencia con la que ocurren estos eventos:
Estas estadísticas indican que el secuestro de BGP no es una ocurrencia rara: los incidentes ocurren a diario y afectan a una amplia gama de organizaciones, incluidas las principales empresas como MasterCard, Amazon y Google, así como a los operadores nacionales de telecomunicaciones. El número real puede ser aún mayor, ya que algunos eventos no se detectan o no se informan.
MPIC está siendo estandarizado por el CA/Browser Forum (CABF) y se está convirtiendo en un requisito para la emisión de certificados de confianza pública, incluidos los certificados TLS y, pronto, S/MIME.
Las principales entidades de certificación como Let’s Encrypt y Google Trust Services ya han implementado formas de MPIC, y se espera que se apliquen en toda la industria para septiembre de 2025.
El registro de autorización de autoridad de certificación (CAA) del DNS se introdujo en 2013 para ayudar a evitar la emisión de certificados no autorizados y se volvió obligatorio para las CA públicas en septiembre de 2017. Este registro permite a los propietarios de dominios especificar qué CA están autorizadas para emitir certificados para sus dominios, lo que ayuda a reducir el riesgo de uso indebido y Shadow IT.
Si no existe un registro CAA para un dominio, cualquier autoridad de certificación pública puede emitir certificados para ese dominio siguiendo la validación de dominio estándar según lo prescrito por el CA/Browser Forum.
Sin embargo, si hay un registro CAA, solo las entidades de certificación enumeradas explícitamente en el registro están autorizadas a emitir certificados para el dominio, lo que agrega una capa importante de control y seguridad.
| Característica | Validación Tradicional | Validación MPIC |
|---|---|---|
| Ubicación de Validación | Un solo punto de red | Múltiples puntos distribuidos globalmente |
| Resistencia a Ataques | Vulnerable a secuestros locales de BGP/DNS | Resistente a ataques localizados |
| Requisito de la Industria | Opcional/legado | Volviéndose obligatorio (Votación CABF SC-067) |
| Emisión de Certificados | Procede con una sola verificación | Requiere corroboración desde todas las perspectivas |
Tabla Resumen: MPIC vs. Validación Tradicional
La corroboración de la emisión multiperspectiva (MPIC) es un marco sofisticado diseñado para mejorar la validez e integridad del intercambio de información en diversas plataformas. Las funcionalidades principales de MPIC giran en torno a tres áreas principales.
La implementación de Multi-Perspective Issuance Corroboration (MPIC) presenta un sólido conjunto de ventajas de seguridad que mejoran significativamente la integridad de los procesos de emisión de certificados. Al aprovechar múltiples perspectivas de red independientes para la validación, MPIC establece un nuevo estándar en seguridad de certificados que aborda varias vulnerabilidades tradicionales al tiempo que fortalece la confiabilidad general de la infraestructura de clave pública.
Beneficios de seguridad adicionales:
Multi-Perspective Issuance Corroboration (MPIC) implementa un sofisticado marco de validación que aprovecha múltiples puntos de vista de la red para garantizar la seguridad y autenticidad de los procesos de emisión de certificados. Este enfoque distribuido mejora significativamente la confiabilidad de la validación de dominio y ayuda a prevenir diversas formas de ataques a nivel de red.
Aquí hay un desglose detallado de cómo opera MPIC:
Métodos de validación admitidos
La validación de control de dominio (DCV) es un componente crítico del proceso de emisión de certificados, y MPIC mejora la seguridad de estas validaciones al aplicar su enfoque de perspectiva múltiple en todos los métodos de validación estándar. Al implementar MPIC en varios métodos de DCV, las autoridades de certificación garantizan una validación consistente y confiable independientemente de la técnica de verificación elegida. Esta cobertura integral garantiza que los beneficios de seguridad de la validación multiperspectiva se mantengan en todos los escenarios de emisión de certificados.
La validación de dominio basada en DNS suele implicar colocar una cadena de validación específica dentro de un registro TXT de DNS. Alternativamente, se puede usar un registro CNAME de DNS para redirigir las comprobaciones de validación a un servidor web de confianza controlado por el solicitante del certificado, lo que permite flujos de trabajo de validación flexibles y seguros.
MPIC se aplica a todos los principales métodos de DCV, incluidos:
Todos estos son métodos de validación de uso común que están sujetos a los requisitos de MPIC. Cada uno de estos métodos se beneficia de la capa de seguridad adicional que proporciona la validación multiperspectiva.
La adopción de Multi-Perspective Issuance Corroboration (MPIC) sigue un cronograma de implementación por fases establecido por el CA/Browser Forum y los principales proveedores de navegadores para equilibrar las mejoras de seguridad con la viabilidad operativa. Este enfoque gradual permite a las autoridades de certificación (CA) y a las partes de confianza adaptar su infraestructura mientras mantienen la estabilidad de los ecosistemas de emisión de certificados. El marco de aplicación se ratificó formalmente en la Boleta SC067v3 (agosto de 2024) y se amplió a través de resoluciones posteriores del Foro CAB, con el pleno cumplimiento requerido para 2025 según los Requisitos de Referencia actualizados.
Fase de presentación de informes (enero de 2024 – marzo de 2025):
MPIC se ejecuta en modo de monitoreo pasivo, y las CA deben registrar las discrepancias de validación, pero no bloquear la emisión. Let’s Encrypt comenzó la implementación temprana en 2020 como una prueba de concepto (según su publicación de blog de 2020).
Fase de aplicación (31 de marzo de 2025 – En curso):
Después de la fecha límite obligatoria de Google, los certificados requieren la validación MPIC desde ≥3 perspectivas de red independientes. La aplicación total (≥5 perspectivas) entra en vigencia el 15 de septiembre de 2025 según la Resolución 2024-87 del Foro CAB.
Disposiciones del período de gracia:
Las CA pueden emitir certificados no conformes por el ≤5% del volumen total hasta junio de 2026 para acomodar sistemas heredados, como se indica en la documentación TLS CPS v6.1.0 de Sectigo.
El protocolo ACME, utilizado por agentes como Certbot y WinACME para automatizar la emisión de certificados, siempre consulta el registro DNS CAA antes de solicitar certificados. Esto se aplica independientemente de si la autoridad de certificación de destino es pública o privada.
Cuando los certificados se solicitan a través de ACME desde una CA privada, el nombre de host de la CA o el nombre de dominio completo (FQDN) debe incluirse en el registro CAA del dominio. Esto garantiza que las CA privadas también cumplan con las directivas de autorización de CAA, lo que evita la emisión de certificados no autorizados.
En esta sección se describen los plazos críticos para el cumplimiento de los estándares de corroboración de emisiones de múltiples perspectivas (MPIC) y la estrategia de adopción de la industria.
MPIC representa un importante paso adelante en la seguridad de la emisión de certificados digitales contra amenazas emergentes a nivel de red.
Requisitos técnicos
Impacto en las organizaciones
Desarrollos futuros
Conclusión clave: MPIC no es solo una actualización técnica, sino un cambio sistémico en la seguridad de los certificados, que requiere una adaptación proactiva de los equipos de TI para mantener el cumplimiento y frustrar ataques a nivel de red cada vez más sofisticados.
Es fundamental que todos los servidores DNS de acceso público operados por una organización estén sincronizados correctamente. Sin una sincronización estrecha, las solicitudes de certificados públicos podrían fallar a partir de septiembre de 2025 debido a la aplicación de los requisitos de corroboración de emisión de múltiples perspectivas (MPIC).
Las discrepancias en los datos DNS entre servidores, incluidos los registros CAA y las entradas DNS de validación de dominio, representan un riesgo significativo para el proceso de emisión de certificados. Las organizaciones deben asegurarse de que los registros DNS sean coherentes y se actualicen rápidamente en todos los servidores a nivel mundial para evitar errores de validación y denegación de la emisión de certificados.
Tenga en cuenta que los sistemas de administración de certificados, como KeyTalk CKMS, pueden solicitar certificados PKI X.509 de las principales autoridades de certificación públicas, incluidas DigiCert y GlobalSign, y, por lo tanto, están sujetos a los requisitos de sincronización de MPIC y DNS.
Las organizaciones que operan varios servidores DNS, especialmente aquellos distribuidos geográficamente en regiones como Europa y Asia, deben asegurarse de que los registros CAA y otras entradas DNS utilizadas para la validación de dominios estén completamente sincronizados con valores TTL (tiempo de vida) bajos y consistentes. Se recomienda un TTL de 300 segundos (5 minutos) o menos para minimizar los retrasos de propagación y evitar incoherencias que podrían dar lugar a errores de validación.
Sin dicha sincronización, las diferencias en los registros DNS entre ubicaciones pueden provocar errores en la emisión de certificados, ya que las validaciones de múltiples perspectivas podrían detectar discrepancias y detener el proceso.
Por ejemplo, un registro DNS para “domain.com” debe ser idéntico en todas las regiones donde operan los servidores DNS, como Europa y Asia, para garantizar resultados de validación coherentes durante las comprobaciones de múltiples perspectivas.
Si los registros DNS son incoherentes o no están sincronizados en estos múltiples servidores, la probabilidad de que las autoridades de certificación públicas rechacen las solicitudes de emisión de certificados aumenta significativamente.
En esta publicación de blog, hicimos una descripción detallada de la corroboración de emisión de múltiples perspectivas (MPIC), un próximo estándar para la emisión de certificados digitales diseñado para mejorar la seguridad contra ataques sofisticados a nivel de red, como el secuestro de BGP.
Los principales puntos clave son:
Conclusión: MPIC representa un cambio fundamental en la seguridad de los certificados digitales. Los equipos de TI y las organizaciones deben adaptar de manera proactiva sus sistemas para integrar los estándares MPIC, asegurando una protección sólida contra las amenazas de seguridad emergentes y alineándose con las mejores prácticas de la industria.
¿Quiere saber más sobre cómo KeyTalk puede ayudar a su organización con MPIC? Póngase en contacto con nosotros y discutiremos los desafíos y las posibles soluciones.
El equipo de KeyTalk
