La seguridad de los certificados de Comodo puede haber sido comprometida

Según el desarrollador del proyecto TOR, un sistema que permite conectarse a los usuarios de manera anónima a través de Internet, Jacob Appelbaum y post en el Blog de la Fundación Mozilla, la autoridad de certificación Comodo SSL puede haberse visto comprometida.

Todavía no hay una declaración oficial por parte de Comodo SSL, pero parece ser que los atacantes obtuvieron los certificados de nueve sitios web, entre ellos el de addons.mozilla.org debido a la falta de comprobaciones durante el proceso de certificación o por una brecha en la seguridad de la infraestructura de Comodo.

Esta situación, que aparentemente parece un problema para la credibilidad de los certificados SSL de Comodo, está forzando a los desarrolladores de aplicaciones web a tomar medidas. En caso contrario, como por ejemplo en la situación de la página de plugins de Mozilla (addons.mozilla.org) los usuarios pueden haber sido redirigidos a una página falsa con plugins infectados.

Indicar que la infraestructura de clave pública PKI permite retirar aquellos certificados que han sido comprometidos, por lo que las autoridades de certificación ofrecen una lista de revocación de certificados (CRLs)  o un servicio de comprobación online, mediante el protocolo OCSP (Online Certificate Status Protocol). Esto permite a los navegadores modernos comprobar si un certificado ofrecido por un determinado sitio web está o no comprometido. Por lo tanto, según las autoridades de certificación (CA) como Comodo SSL, Thawte o Verisign, casos como el ocurrido no suponen «ningún problema para el usuario».

Pero esto es en teoría, en la práctica las peticiones a los sistemas CRL y OCSP pueden ser bloqueados sin que el navegador se entere (siempre y cuando tenga una configuración por defecto que es la que tienen el 90% de los usuario). Por lo tanto, esto provoca que la verificación del certificado falle y verse comprometida la seguridad del usuario. Por esta razón Comodo SSL se ha puesto en contacto con la mayoría de los desarrolladores web que utilizan sus certificados para notificarles el número de serie de los certificados afectados. Este número de serie ha sido introducido en la lista negra de los navegadores de tal manera que lancen una alerta incluso sin utilizar CRL y OCSP.

Google ya ha incluido esta lista negra en su última versión de Chrome (10.0.648.151), mientras que Mozilla ha indicado que la versión 4 de Firefox ya la incluye, así como las versiones 3.6.16 y 3.5.18.  En el caso de Internet Explorer saldrá una actualización para resolver esta vulnerabilidad, por lo que no recomendamos su utilización hasta que se libere.

Para la seguridad y tranquilidad de nuestros Clientes, indicar que nuestros Certificados SSL son de las autoridades de certificación Verisign, Thawte y GeoTrust que en ningún momento se han visto comprometidas.

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: