El gobierno de los Estados Unidos no renovó más de 80 certificados TLS debido al cierre

El certificado DigiCert utilizado por el sitio web del Tribunal de Apelaciones de EE. UU. Expiró el 5 de enero de 2019 y no se ha renovado. El sitio contiene enlaces al sistema de archivo de documentos y PACER (sistema de acceso público a registros electrónicos judiciales)

Según un estudio de Netcraft, docenas de sitios del gobierno de EE. UU. Se volvieron inseguros o inaccesibles durante el cierre federal en curso. Entre ellos se encuentran importantes portales de pago y servicios de acceso remoto utilizados por la NASA, el Departamento de Justicia de EE. UU. Y el Tribunal de Apelaciones.

Alrededor de 400,000 empleados federales están actualmente en licencia forzada. Por lo tanto, no es demasiado sorprendente que nadie se haya molestado en renovar más de 80 certificados TLS en sitios gubernamentales en la zona .gov. La situación se ve agravada por el hecho de que algunos de estos sitios abandonados se volvieron inaccesibles debido a la estricta política de seguridad de HSTS que se implementó antes del cierre.

Un ejemplo es https://ows2.usdoj.gov , el sitio web del Departamento de Justicia de EE. UU. Su certificado expiró una semana antes del cierre. El certificado fue firmado por una autoridad de certificación de GoDaddy confiable, pero no se ha actualizado desde su vencimiento el 17 de diciembre de 2018.


Todos los subdominios del Departamento de Justicia de EE. UU. Están cubiertos por la política de HSTS. Combinado con un certificado TLS caducado, esto actualmente evita que los usuarios ignoren las advertencias e inicien sesión en el sitio.

El dominio usdoj.gov y todos sus subdominios están incluidos en la lista de precarga de HSTS Chromium . Esta es una medida de seguridad razonable que obliga a los navegadores modernos a usar solo protocolos seguros y encriptados al acceder a los sitios web del Ministerio de Justicia. Al mismo tiempo, el acceso se bloquea cuando se descubre un certificado caducado. En estos casos, los navegadores modernos, como Google Chrome y Mozilla Firefox, ocultan intencionalmente una opción avanzada que permitirá al usuario omitir la advertencia e ir al sitio.

Reconociendo la situación lamentable, los expertos de Netcraft creen que aún entre la usabilidad y la seguridad, debe elegir el segundo, si no puede obtener ambos. Si los usuarios tuvieran la oportunidad de ignorar tales advertencias, se volverían vulnerables a ataques como MiTM, que los certificados TLS están diseñados para tratar.

Sin embargo, la política correcta de HSTS se configura solo en unos pocos sitios .gov. Aparecen en la lista de precarga de HSTS, y el resto intenta establecer la política a través del encabezado HTTP Strict-Transport-Security. Dicha política no se ejecutará con un certificado caducado; es efectiva solo si el usuario ya ha visitado sitios anteriormente.

Por lo tanto, en los sitios más afectados, se mostrará una advertencia de seguridad que el usuario puede omitir, escribe Netcraft: "Esto crea algunos problemas de seguridad, porque es más probable que los usuarios ignoren estas advertencias de seguridad y se vuelvan vulnerables a ataques como MiTM".


Este sitio de la NASA todavía usa un certificado caducado, pero el dominio no está en la lista preliminar de HSTS. Por lo tanto, los usuarios pueden ignorar las advertencias del navegador e ir al sitio

Por ejemplo, el dominio https://rockettest.nasa.gov/ no está incluido en la lista de precarga de HSTS, y el certificado expiró el 5 de enero de 2019.

Otro ejemplo ilustra el peligro potencial de ignorar las advertencias de seguridad del navegador. El certificado del sitio de Berkeley Lab https://d2l.lbl.gov expiró el 8 de enero de 2019 (aunque Berkeley Lab no se vio afectado por el cierre) y aún no ha sido reemplazado. Como no existe una política eficaz de HSTS, los usuarios pueden ignorar las advertencias del navegador y acceder al formulario de inicio de sesión. En este ejemplo, al hacer clic al lado de la barra de direcciones del navegador se le indicará explícitamente al usuario que no deje ninguna información confidencial en la página.

El cierre del gobierno se debió a la obstinada posición de las dos partes en la escena política estadounidense. El presidente Donald Trump no quiere comprometerse en el muro con México, y los demócratas se niegan a aprobar un presupuesto de $ 5.7 mil millones para construir el muro. Si el cierre dura y los empleados federales permanecen de vacaciones, en un futuro cercano aún más sitios gubernamentales podrían no estar disponibles debido a los certificados TLS vencidos.