El Ministerio de TI anuncia premios en efectivo para navegadores que confían en la autoridad emisora ​​de certificados digitales de la India

India no tiene una autoridad de certificación raíz reconocida o en la que confíen los principales navegadores web, como Google Chrome, Mozilla Firefox y Microsoft Edge. Lo que significa que el gobierno indio y los sitios web privados tienen que comprar certificados SSL de autoridades de certificación extranjeras. Imagen utilizada solo con fines representativos. | Crédito de la foto: arreglo especial

Se prometen premios en efectivo por valor de ₹ 3,4 millones de rupias a los desarrolladores que ayuden a crear un navegador web indígena indio «para el mundo», el Anuncio del Ministerio de Electrónica y Tecnologías de la Información Miércoles. Una advertencia importante es que las ideas de navegador enviadas a este concurso deberán confiar en el controlador de las autoridades de certificación (CCA), la autoridad del gobierno indio para las firmas digitales, incluidos los certificados de capa de conexión de seguridad (SSL).

Los certificados SSL se utilizan para cifrar sitios web y garantizar que los navegadores sepan que los atacantes no modifican ni falsifican un sitio web. Los navegadores saben que deben confiar en estos certificados si los emite una autoridad de certificación que, a su vez, cuenta con la confianza de una «autoridad de certificación raíz». India no tiene una CA raíz en la que confíen los principales navegadores como Google Chrome, Mozilla Firefox y Microsoft Edge.

Esto ha llevado a una situación en la que el gobierno opera una autoridad de certificación raíz que es legalmente válida según la ley india, la Autoridad de Certificación Raíz de India, establecida en 2000 bajo la CCA, pero los certificados emitidos en el ámbito de su jurisdicción no son reconocidos por la web. . navegadores, los principales gobiernos indios y sitios web privados para comprar certificados SSL de autoridades de certificación extranjeras.

Esto sigue al menos a una brecha de seguridad importante relacionada con una autoridad de certificación india. Una organización aprobada por CCA, el Centro Nacional de Informática (NIC), que aloja y mantiene varios sitios web del gobierno estatal y de la Unión, ha tenido una historia controvertida en lo que respecta a la confianza en los navegadores.

En julio de 2014, los sistemas operativos como Windows y los desarrolladores de navegadores web para Google Chrome y Firefox dejaron de confiar en la CCA de India en su «tienda raíz», un depósito de autoridades de certificación raíz de confianza, después de que la NIC pareció emitir certificados fraudulentos a sitios web. EL CCA revocó la autorización de NIC para emitir la mayoría de los certificados SSLpero los sistemas operativos y navegadores aún no cuentan con autoridades aprobadas por RCAI en sus almacenes de confianza.

Incluso el sitio web Indian Web Browser Development Challenge, como se llama la competencia, lleva un certificado SSL a través de Let’s Encrypt, una iniciativa sin fines de lucro del grupo de investigación de seguridad de Internet con sede en California.

La mayor parte del trabajo de la CCA se centra actualmente en las firmas digitales aceptadas en los documentos; pero en los certificados SSL, los sitios web indios han tenido que confiar en la confiabilidad de las autoridades de certificación en el extranjero. Los funcionarios enmarcaron el esfuerzo de crear un navegador que confíe en las CA indias para reducir la dependencia extranjera.

«Está ocurriendo una gran cantidad de salida de divisas» a las CA extranjeras, dijo Arvind Kumar, el controlador de CA, en el lanzamiento de la competencia. «Cada año se gastan alrededor de 100 millones de rupias para comprar estos certificados SSL en el extranjero».

El concurso está organizado y financiado en colaboración con la División de Investigación y Desarrollo del Ministerio de Informática y el Intercambio Nacional de Internet de la India.