La autoridad de certificación StartSSL atacada

Si en Marzo la autoridad de certificación Comodo fue la atacada, ahora le ha tocado el turno a StartSSL. De hecho, si se accede a su página web aparece un comunicado relativo a dicho incidente, en el cual se indica que sus servicios han sido suspendidos así como la emision de nuevos certificados:

Maintenance

Due to a security breach that occurred at the 15th of June, issuance of digital certificates and related services has been suspended. Our services will remain offline until further notice.

Subscribers and holders of valid certificates are not affected in any form.

Visitors to web sites and other parties relying on valid certificates are not affected.

We apologize for the temporary inconvenience and thank you for your understanding.

El ataque sufrido por StartSSL sucedió el pasado 15 de Junio, aunque la compañía no da más detalles sobre el origen ni las consecuencias de dicho ataque. Esta autoridad de certificación es utilizada por los principales navegadores del mercado (IE, Chrome y Firefox) para valorar la autenticidad de sitios web sensibles.

El ataque sufrido por Comodo en Marzo provocó que los principales fabricantes de navegadores, crearan listas negras de credenciales falsas antes de que los hackers pudieran utilizarlas para crear sitios web falsos (spoof websites) con certificados de seguridad válidos que autentificaran la validez del sitio, engañando así al usuario que accediera a dicho sitio web.

La creación de dichas listas negras no fue completada hasta una semana después del ataque sufrido por Comodo. Si tenemos en cuenta que muchos usuarios no tienen sus navegadores actualizados, podemos suponer la gravedad de la situación.

Según Eddy Nigg, CTO y COO de StartCom (empresa propietaria de StartSSL), el ataque sufrido por StartSSL repetía el mismo esquema que el de Comodo. Aunque esta vez,  los hackers que están detrás del ataque de StartSSL, no pudieron obtener certificados de la autoridad (tal y como hicieron con Comodo) que les permitiera crear sitios web falsos. Tampoco tuvieron éxito a la hora de generar certificados intermedios que les permitiera actuar como una autoridad de certificación propia.

Eddy Nigg indica que la clave privada de la autoridad de certificación está almacenada en un servidor no conectado a Internet, lo que asegura que no pueda ser obtenido por nadie ajeno a la compañía.

El hecho de que las autoridades de certificación (CA) sean susceptibles de ataques por parte de hackers, representa una de las mayores vulnerabilidades en el sistema SSL. Una vez que una CA de raíz es incluída en un navegador, es responsable de validar cientos de miles de sitios webs.

Para la seguridad y tranquilidad de nuestros Clientes, indicar que nuestros Certificados SSL son de las autoridades de certificación Verisign, Thawte y GeoTrust que en ningún momento se han visto comprometidas.

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: