Open MPIC: il percorso open source verso una validazione multi-prospettiva sicura
Open MPIC è una piattaforma open source per aiutare le CA a rispettare le normative MPIC, proteggendo dalle minacce BGP con validazioni geografiche multiple.
Le autorità di certificazione (CA) sono ora sotto pressione.
I nuovi requisiti di base del CA/Browser Forum, in particolare la sezione 3.2.2.9, introducono un'implementazione graduale della Multi-Perspective Issuance Corroboration (MPIC). Queste regole mirano a fermare un tipo pericoloso di exploit: il dirottamento del Border Gateway Protocol (BGP).
Il BGP è un sistema vecchio di decenni che aiuta a instradare il traffico Internet, ma non è stato progettato pensando alla sicurezza. Gli aggressori possono abusare del BGP per reindirizzare silenziosamente le richieste, compresi i controlli di convalida dei domini utilizzati dalle CA, creando una finestra ristretta per impersonare siti web e indurre una CA a emettere un certificato fraudolento.
Infatti, gli attacchi BGP sono diventati un problema tale che persino il governo degli Stati Uniti ha sollevato preoccupazioni al riguardo.
Il rimedio agli attacchi BGP consiste nel convalidare una voce DNS da più punti separati nella gerarchia di Internet (“prospettive multiple”). Pertanto, le nuove regole MPIC richiedono alle CA di convalidare il controllo del dominio e i record CAA da più punti di osservazione globali. Per aiutare le CA a raggiungere questo obiettivo, Sectigo sta contribuendo allo sviluppo di Open MPIC: un framework open source guidato dalla comunità, originariamente creato dai ricercatori di Princeton.
Approfondiamo gli attacchi BGP, come MPIC li blocca e come Sectigo sta contribuendo all'ecosistema Open MPIC.
Il problema: attacchi BGP alla convalida dei domini
Quando una CA esegue un controllo di controllo del dominio, presume che il traffico che invia raggiunga il server corretto. Ma non è sempre vero.
Il dirottamento BGP consente agli aggressori di reindirizzare silenziosamente il traffico su Internet. Non viola la crittografia né compromette un server, ma cambia semplicemente i segnali stradali. Se una CA esegue la convalida solo da una singola rete, può essere indotta a credere che un dominio sia sotto il controllo del richiedente, anche se non è così.
“Ciò che rende il dirottamento BGP così pericoloso è che non è necessario dirottare il percorso per molto tempo per avere successo”, ha affermato Dmitry Sharkov, Principal Architect di Sectigo e lead architect di Open MPIC. “È possibile deviare brevemente il controllo di convalida di una CA verso un server dannoso, indurla a rilasciare un certificato legittimo e poi scomparire. È tutto ciò che serve”.
Sharkov paragona il dirottamento BGP a una scena di Mission: Impossible - Protocollo fantasma:
“Due cattivi pensano di incontrarsi in un hotel, ma uno di loro sta in realtà parlando con Tom Cruise sotto mentite spoglie. Sono stati ingannati da un trucco con i cartelli. È esattamente ciò che accade in un dirottamento BGP, tranne che è la CA ad essere ingannata”.
Le conseguenze sono gravi: una volta emesso un certificato fraudolento, questo può essere utilizzato per impersonare siti legittimi e intercettare il traffico crittografato.
La soluzione: Multi-Perspective Issuance Corroboration (MPIC)
La soluzione consiste nel rendere la convalida dei certificati meno dipendente da un unico percorso. Questa è l'idea alla base dell'MPIC.
Invece di convalidare un dominio da un'unica posizione di rete, l'MPIC richiede alle CA di effettuare controlli da più punti di osservazione geograficamente diversi. Se una regione viene fuorviata da un dirottamento BGP, le altre possono rilevare la discrepanza e impedire l'emissione del certificato.
“Le CA devono ora confermare il controllo del dominio da punti di osservazione distinti e distanti”, ha affermato Sharkov. “Non si tratta di un'opzione, ma sta diventando la norma”.
Dal 15 marzo 2025, le CA sono tenute a monitorare le convalide dei domini utilizzando almeno due prospettive di rete remote. Entro il 15 settembre entrerà in vigore l'obbligo di applicare la logica del quorum per garantire che, anche se una sola prospettiva non è d'accordo, l'emissione possa essere bloccata. E dal 15 marzo al 15 dicembre 2026, l'asticella si alza nuovamente, con un'implementazione graduale verso cinque prospettive geograficamente diverse.
L'obiettivo è chiaro: rendere statisticamente improbabile che un aggressore possa ingannare tutte le prospettive contemporaneamente.
Che cos'è Open MPIC?
Open MPIC è un framework open source progettato per aiutare le CA a soddisfare i requisiti MPIC senza reinventare il proprio stack di convalida.
È nato come proof-of-concept da alcuni ricercatori della Princeton University: solo tre script Python volti a testare la fattibilità dell'MPIC. Ora, Sharkov di Sectigo sta assumendo la guida dell'architettura e sta lavorando in collaborazione con i co-fondatori Henry Birge-Lee e Grace Cimaszewski per sviluppare e mantenere la libreria principale del progetto, le specifiche API e le soluzioni di implementazione.
“Non volevamo che le CA partissero da zero o implementassero soluzioni fragili”, ha affermato Sharkov. “Open MPIC offre loro un vantaggio iniziale: è aperto, estensibile e pronto per la scalabilità”.
Open MPIC attualmente supporta due opzioni di implementazione principali:
- AWS Lambda: una configurazione serverless che si adatta automaticamente. Ideale per le CA che desiderano una convalida rapida ed elastica con un overhead minimo.
- Microcontenitori Docker: per un controllo completo. Distribuzione in produzione su EC2 o Kubernetes e test locale con Docker Compose.
Le funzionalità integrate includono logica di quorum, applicazione della distanza e diversità di prospettiva, tutte in linea con le regole MPIC del CA/B Forum.
“È possibile configurare Open MPIC per funzionare in tre regioni oggi o in quindici domani”, ha affermato Sharkov. “Supporta la logica di selezione della prospettiva, quindi è conforme a requisiti quali la separazione minima di 500 km e la diversità dei registri regionali”.
Infine, Open MPIC non è un artefatto accademico o un repository una tantum. È gestito congiuntamente da Sectigo e Princeton, con feedback attivi e segnalazioni di bug da parte di altre CA.
“Abbiamo uno Slack live con le CA che pongono domande sull'implementazione, segnalano problemi e suggeriscono persino nuove funzionalità”, ha affermato Sharkov. “Alcuni collaboratori rimangono anonimi, ma il ciclo di feedback sta già rafforzando il progetto”.
Qual è il futuro di Open MPIC?
Mentre sempre più CA si preparano all'applicazione completa dell'MPIC il 15 settembre 2025, Open MPIC si sta preparando per la scala reale. Sharkov osserva che il progetto si evolverà su diversi fronti: prestazioni, supporto delle funzionalità e reattività al feedback del settore.
“Nel futuro immediato, continueremo a mettere a punto le prestazioni e la regolazione, semplicemente dal punto di vista dell'usabilità”, ha affermato Sharkov. “Man mano che le CA, tra cui ovviamente Sectigo, inizieranno a utilizzare Open MPIC a pieno regime, vogliamo assicurarci che sia in grado di gestire efficacemente tale volume”.
Una delle prossime tappe fondamentali è il supporto di MPIC per le convalide S/MIME, come richiesto nelle fasi future dei requisiti di base del CA/B Forum. Oltre a ciò, Open MPIC si posiziona come una base flessibile guidata dalla comunità in grado di crescere con l'ecosistema.
“Potremmo essere in grado di utilizzarlo così com'è, ma questo dipende davvero da ciò che la comunità imparerà, e da ciò che Sectigo imparerà, man mano che utilizzeremo Open MPIC su larga scala”, ha affermato Sharkov. “Se i requisiti cambieranno o scopriremo aree di miglioramento, saremo in una buona posizione per adattarci. Open MPIC è progettato per evolversi”.
Un impegno più ampio per la sicurezza open source
Open MPIC pone le basi per un modello di convalida dei domini più resiliente, in cui l'emissione dei certificati dipende dal consenso e non dalla fiducia in un unico percorso.
MPIC non è più un'idea teorica, ma una politica. E Open MPIC è un framework open source funzionante che aiuta le CA a implementarla senza partire da zero.
Contribuire al WebPKI è un principio fondamentale per una CA rispettabile. Sectigo contribuisce da tempo all'infrastruttura condivisa alla base di vari progetti WebPKI open source, tra cui la trasparenza dei certificati (crt.sh), il linting di convalida (pkimetal, zlint, certlint) e gli strumenti dell'ecosistema (Certbot, log CT, cross-signing CA). Con più posizioni di leadership nel CA/Browser Forum rispetto a qualsiasi altra CA, Sectigo contribuisce regolarmente agli standard, li implementa tempestivamente e aiuta l'ecosistema ad adottarli su larga scala.
Open MPIC continua questo lavoro, offrendo una soluzione pratica e conforme agli standard a una minaccia molto reale.
Se sei interessato a partecipare alla progettazione di Open MPIC, unisciti allo spazio di lavoro Slack (openmpic.slack.com) e alla mailing list.
Maggiori informazioni sono disponibili sul sito web di Open MPIC.