Sectigo anunció la introducción de Multi-Perspective Issuance Corroboration (MPIC) en los procesos de Domain Control Validation (DCV) y Certificate Authority Authorization (CAA), en cumplimiento con los nuevos requerimientos del CA/B Forum.

El objetivo de MPIC es reducir riesgos de seguridad mediante la verificación de resultados de validación desde múltiples ubicaciones y redes independientes alrededor del mundo. Esto busca mitigar vulnerabilidades como el BGP hijacking, que podría manipular las respuestas de DCV y CAA durante la emisión de certificados.

¿Qué significa en la práctica?

Hasta ahora, cuando se emitía un certificado TLS o S/MIME, la validación se realizaba desde un solo punto de red (por ejemplo, el servidor de Sectigo). Si un atacante lograba desviar el tráfico con un ataque de BGP hijacking, podía engañar a esa validación y conseguir un certificado de un dominio que no controlaba.

Con MPIC, Sectigo verifica los resultados desde varias regiones del mundo de manera independiente:

Si todas las validaciones coinciden → el certificado se emite

Si hay discrepancias → el proceso se detiene y no se entrega el certificado

• 18 de febrero de 2025: MPIC funciona en modo de reporte, mostrando los resultados sin afectar la emisión.
• 15 de septiembre de 2025: MPIC será obligatorio, y los certificados no se emitirán si las validaciones remotas no corroboran los resultados principales.

¿A quién afecta?

A todos los clientes que soliciten certificados TLS públicos mediante DCV y CAA, incluyendo los que usen ACME, HTTP, DNS o email.

Posteriormente, también alcanzará a certificados S/MIME para correo electrónico seguro.

Sectigo recomienda a las empresas asegurarse de que sus DNS, servidores web y configuraciones de red sean accesibles desde múltiples ubicaciones internacionales. Esto evitará rechazos en la emisión de certificados cuando MPIC entre en vigor en septiembre de 2025.