La Multi-Perspective Issuance Corroboration (MPIC) è un miglioramento della sicurezza per l’emissione di certificati digitali. Richiede alle autorità di certificazione (CA) di eseguire la convalida del dominio e i controlli di autorizzazione dell’autorità di certificazione (CAA) da più sedi di rete, geograficamente e topologicamente distinte, anziché da una sola.
Questo approccio è progettato per mitigare il rischio di attacchi sofisticati, in particolare il dirottamento del Border Gateway Protocol (BGP), in grado di manipolare i tradizionali metodi di convalida a singola posizione.
Se sei un professionista IT, dovresti prendere in considerazione MPIC perché ha un impatto diretto sulla sicurezza e l’affidabilità dei certificati digitali utilizzati per proteggere siti web, e-mail e altri servizi online su cui si basa la tua infrastruttura IT.
MPIC rende significativamente più difficile per gli aggressori sfruttare le vulnerabilità di rete, come BGP o DNS hijacking, per ottenere fraudolentemente certificati per domini che non controllano. MPIC aiuta a prevenire attacchi man-in-the-middle, violazioni dei dati e perdita di fiducia nella presenza digitale della tua organizzazione.
Poiché MPIC sta diventando un requisito del settore, i team IT dovranno garantire che la loro infrastruttura e i loro processi siano compatibili con questi nuovi standard di convalida per mantenere la conformità ed evitare interruzioni del servizio.
MPIC protegge le risorse digitali della tua organizzazione, rafforza il tuo livello di sicurezza e garantisce la conformità alle migliori pratiche del settore in continua evoluzione.
Ricerche e incidenti reali hanno dimostrato che gli aggressori possono sfruttare le debolezze dell’infrastruttura di routing di Internet (BGP) per reindirizzare il traffico di convalida, inducendo potenzialmente le CA a rilasciare certificati a soggetti non autorizzati.
Questa minaccia è anche nota come BGP hijacking, prefix hijacking, route hijacking o IP hijacking. Si tratta dell’appropriazione illegittima di gruppi di indirizzi IP tramite la corruzione delle tabelle di routing Internet tramite il Border Gateway Protocol (BGP).
Il 72% dei domini era vulnerabile agli hijack dei sottoprefissi BGP, consentendo agli aggressori di reindirizzare il traffico di convalida e di ingannare le autorità di certificazione (CA) inducendole a rilasciare certificati fraudolenti.
Il 70% dei domini era soggetto ad attacchi basati sullo stesso prefisso, consentendo agli avversari di impersonare reti legittime.
Tutte le prime cinque CA sono state trovate vulnerabili alle frodi sui certificati basati su BGP prima degli sforzi di mitigazione, come dimostrato dagli esperimenti di hacking etico.
Gli incidenti di dirottamento BGP si verificano con notevole frequenza e continuano a rappresentare una minaccia persistente per la sicurezza globale di Internet. Dati recenti forniscono un quadro chiaro della frequenza con cui si verificano questi eventi:
Queste statistiche indicano che il dirottamento BGP non è un evento raro: incidenti accadono quotidianamente, colpendo un’ampia gamma di organizzazioni, tra cui grandi aziende come MasterCard, Amazon e Google, nonché operatori di telecomunicazioni nazionali. Il numero reale potrebbe essere ancora più alto, poiché alcuni eventi non vengono rilevati o segnalati.
MPIC è in fase di standardizzazione da parte del CA/Browser Forum (CABF) e sta diventando un requisito per il rilascio di certificati pubblicamente attendibili, inclusi i certificati TLS e, a breve, S/MIME.
Importanti autorità di certificazione come Let’s Encrypt e Google Trust Services hanno già implementato forme di MPIC e si prevede che l’applicazione in tutto il settore avverrà entro settembre 2025.
Il record DNS Certificate Authority Authorization (CAA) è stato introdotto nel 2013 per impedire l’emissione non autorizzata di certificati ed è diventato obbligatorio per le CA pubbliche nel settembre 2017. Questo record consente ai proprietari di domini di specificare quali CA sono autorizzate a emettere certificati per i propri domini, contribuendo a ridurre il rischio di uso improprio e Shadow IT.
Se non esiste alcun record CAA per un dominio, qualsiasi autorità di certificazione pubblica può rilasciare certificati per quel dominio seguendo la convalida standard del dominio come prescritto dal CA/Browser Forum.
Tuttavia, se è presente un record CAA, solo le autorità di certificazione elencate esplicitamente nel record sono autorizzate a rilasciare certificati per il dominio, aggiungendo un importante livello di controllo e sicurezza.
| Caratteristica | Validazione tradizionale | Validazione MPIC |
| Posizione di convalida | Singolo punto di rete | Punti multipli distribuiti a livello globale |
| Resistenza agli attacchi | Vulnerabile ai dirottamenti BGP/DNS locali | Resistente agli attacchi localizzati |
| Requisiti del settore | Facoltativo/legacy | Diventa obbligatorio (schedatura CABF SC-067) |
| Emissione del certificato | Proventi con assegno unico | Richiede conferma da tutte le prospettive |
Tabella riassuntiva: MPIC vs. convalida tradizionale
La Multi-Perspective Issuance Corroboration (MPIC) è un framework sofisticato progettato per migliorare la validità e l’integrità dello scambio di informazioni tra diverse piattaforme. Le funzionalità principali di MPIC ruotano attorno a tre aree principali.
L’implementazione della Multi-Perspective Issuance Corroboration (MPIC) offre una solida serie di vantaggi in termini di sicurezza che migliorano significativamente l’integrità dei processi di emissione dei certificati. Sfruttando più prospettive di rete indipendenti per la convalida, MPIC stabilisce un nuovo standard nella sicurezza dei certificati che affronta diverse vulnerabilità tradizionali, rafforzando al contempo l’affidabilità complessiva dell’infrastruttura a chiave pubblica.
Ulteriori vantaggi per la sicurezza:
La Multi-Perspective Issuance Corroboration (MPIC) implementa un sofisticato framework di convalida che sfrutta molteplici punti di vista di rete per garantire la sicurezza e l’autenticità dei processi di emissione dei certificati. Questo approccio distribuito migliora significativamente l’affidabilità della convalida del dominio e contribuisce a prevenire varie forme di attacchi a livello di rete.
Ecco una descrizione dettagliata del funzionamento di MPIC:
1. Controlli di convalida distribuiti
2. Conferma dei risultati
3. Requisiti di prospettiva di rete
4. Requisiti del processo di convalida
5. Gestione e segnalazione degli errori
La convalida del controllo del dominio (DCV) è una componente fondamentale del processo di emissione dei certificati e MPIC migliora la sicurezza di queste convalide applicando il suo approccio multiprospettico a tutti i metodi di convalida standard. Implementando MPIC su diversi metodi DCV, le autorità di certificazione garantiscono una convalida coerente e affidabile indipendentemente dalla tecnica di verifica scelta. Questa copertura completa garantisce che i vantaggi in termini di sicurezza della convalida multiprospettica siano mantenuti in tutti gli scenari di emissione dei certificati.
La convalida del dominio basata su DNS prevede in genere l’inserimento di una stringa di convalida specifica all’interno di un record DNS TXT. In alternativa, è possibile utilizzare un record DNS CNAME per reindirizzare i controlli di convalida a un server web attendibile controllato dal richiedente del certificato, consentendo flussi di lavoro di convalida flessibili e sicuri.
MPIC si applica a tutti i principali metodi DCV, tra cui:
Si tratta di metodi di convalida comunemente utilizzati e soggetti ai requisiti MPIC. Ognuno di questi metodi beneficia del livello di sicurezza aggiuntivo offerto dalla convalida multiprospettica.
L’adozione della Multi-Perspective Issuance Corroboration (MPIC) segue una tempistica di implementazione graduale stabilita dal CA/Browser Forum e dai principali fornitori di browser per bilanciare i miglioramenti della sicurezza con la fattibilità operativa. Questo approccio graduale consente alle autorità di certificazione (CA) e alle parti affidanti di adattare la propria infrastruttura mantenendo la stabilità degli ecosistemi di emissione dei certificati. Il quadro normativo è stato formalmente ratificato nella Ballot SC067v3 (agosto 2024) e ampliato attraverso successive risoluzioni del CAB Forum, con la piena conformità richiesta entro il 2025 in base ai Requisiti di Base aggiornati.
Fase di rendicontazione (gennaio 2024 – marzo 2025):
MPIC funziona in modalità di monitoraggio passivo, con le CA tenute a registrare le discrepanze di convalida, ma non l’emissione dei blocchi. Let’s Encrypt ha avviato l’implementazione preliminare nel 2020 come proof-of-concept (come riportato nel post del blog del 2020).
Fase di applicazione (31 marzo 2025 – in corso):
Dopo la scadenza stabilita da Google, i certificati richiedono la convalida MPIC da almeno 3 prospettive di rete indipendenti. L’applicazione completa (almeno 5 prospettive) entrerà in vigore il 15 settembre 2025, come da Risoluzione 2024-87 del CAB Forum.
Disposizioni relative al periodo di grazia:
Le CA possono emettere certificati non conformi per ≤5% del volume totale fino a giugno 2026 per adattarsi ai sistemi legacy, come indicato nella documentazione TLS CPS v6.1.0 di Sectigo.
Il protocollo ACME, utilizzato da agenti come Certbot e WinACME per automatizzare l’emissione dei certificati, consulta sempre il record DNS CAA prima di richiedere i certificati. Questo vale indipendentemente dal fatto che l’autorità di certificazione di destinazione sia pubblica o privata.
Quando i certificati vengono richiesti tramite ACME da una CA privata, il nome host o il nome di dominio completo (FQDN) della CA deve essere incluso nel record CAA del dominio. Ciò garantisce che anche le CA private rispettino le policy di autorizzazione della CAA, impedendo l’emissione di certificati non autorizzati.
Questa sezione delinea le tempistiche critiche per la conformità agli standard MPIC (Multi-Perspective Issuance Corroboration) e la strategia di adozione del settore.
MPIC rappresenta un significativo passo avanti nella protezione del rilascio di certificati digitali dalle minacce emergenti a livello di rete.
Requisiti tecnici
Impatto sulle organizzazioni
Sviluppi futuri
Punto chiave : MPIC non è solo un aggiornamento tecnico, ma un cambiamento sistemico nella sicurezza dei certificati, che richiede un adattamento proattivo da parte dei team IT per mantenere la conformità e contrastare attacchi a livello di rete sempre più sofisticati.
È fondamentale che tutti i server DNS accessibili al pubblico gestiti da un’organizzazione siano correttamente sincronizzati. Senza una sincronizzazione accurata, le richieste di certificati pubblici potrebbero non essere accettate a partire da settembre 2025 a causa dell’applicazione dei requisiti MPIC (Multi-Perspective Issuance Corroboration).
Le discrepanze nei dati DNS tra i server, inclusi i record CAA e le voci DNS di convalida del dominio, rappresentano un rischio significativo per il processo di rilascio dei certificati. Le organizzazioni devono garantire che i record DNS siano coerenti e aggiornati tempestivamente su tutti i server a livello globale per prevenire errori di convalida e il rifiuto del rilascio dei certificati.
Si noti che i sistemi di gestione dei certificati come KeyTalk CKMS possono richiedere certificati PKI X.509 dalle principali autorità di certificazione pubbliche, tra cui DigiCert e GlobalSign, e sono pertanto soggetti ai requisiti di sincronizzazione MPIC e DNS.
Le organizzazioni che gestiscono più server DNS, in particolare quelle distribuite geograficamente in regioni come Europa e Asia, devono garantire che i record CAA e le altre voci DNS utilizzate per la convalida del dominio siano completamente sincronizzati con valori TTL (Time To Live) coerenti e bassi. Si consiglia un TTL di 300 secondi (5 minuti) o inferiore per ridurre al minimo i ritardi di propagazione ed evitare incongruenze che potrebbero causare errori di convalida.
Senza tale sincronizzazione, le differenze nei record DNS tra le varie sedi potrebbero portare al fallimento del rilascio del certificato, poiché le convalide multiprospettiche potrebbero rilevare discrepanze e interrompere il processo.
Ad esempio, un record DNS per “dominio.com” dovrebbe essere identico in tutte le regioni in cui operano i server DNS, come Europa e Asia, per garantire risultati di convalida coerenti durante i controlli multiprospettici.
Se i record DNS sono incoerenti o non sincronizzati su questi server multipli, la probabilità che le autorità di certificazione pubbliche rifiutino le richieste di emissione dei certificati aumenta significativamente.
In questo articolo del blog abbiamo fornito una panoramica approfondita della Multi-Perspective Issuance Corroboration (MPIC), uno standard di prossima uscita per l’emissione di certificati digitali progettato per migliorare la sicurezza contro attacchi sofisticati a livello di rete come il dirottamento BGP.
I punti chiave principali sono:
Conclusione: MPIC rappresenta un cambiamento fondamentale nella sicurezza dei certificati digitali. I team IT e le organizzazioni devono adattare proattivamente i propri sistemi per integrare gli standard MPIC, garantendo una solida protezione contro le minacce alla sicurezza emergenti e allineandosi alle best practice del settore.
Vuoi saperne di più su come KeyTalk può aiutare la tua organizzazione con MPIC? Contattaci e discuteremo le sfide e le possibili soluzioni.
Il team KeyTalk
