Un certificado malintencionado de Google SSL, emitido por DigiNotar, una autoridad de certificación (CA) con sede en Holanda, fue encontrado en Internet y se utiliza en un ataque “man-in-the-middle”(hombre en el medio) contra los usuarios de Gmail.

El certificado fue descubierto por un usuario iraní cuando intentaba acceder a Gmail gracias a un error mostrado por el navegador Google Chrome.

El certificado fue emitido para *.google.com por DigiNotar, el 10 de julio de 2011, lo que significa que pudo haber sido utilizado para los ataques contra la mayoría de los servicios de Google durante 5 semanas hasta que fue revocado por la CA holandés.

Esta es una infracción de seguridad muy importante en la infraestructura de claves públicas (PKI) que está relacionada con las entidades emisoras de certificados-raíz para emitir certificados que identifican los nombres de dominio.

Desde el mes de marzo se han planteado varias dudas sobre la seguridad basadas en el modelo de la entidad emisora de certificados, cuando un hacker iraní logró irrumpir en un revendedor de Comodo y emitió certificados malintencionados para muchos sitios web de alto perfil.

Ese incidente, que afortunadamente no condujo a ningún abuso, dio lugar a discusiones sobre el futuro de PKI y llevó a la construcción de protecciones adicionales en los navegadores.

Google introdujo una característica denominada certificado de anclaje en Chrome 13, razón por la cual se detectó este nuevo ataque. El anclaje del certificado asocia un dominio con un número muy limitado de entidades emisoras de certificados.

DigiNotar no era uno de los asociados de Gmail, El navegador Google Chrome emitió un error SSL que le pedía al usuario iraní que investigara. Google ha advertido a Microsoft, Mozilla y a otros proveedores que confían en los certificados de DigiNotar por defecto.

Los tres proveedores ya comenzaron a distribuir o planean emitir actualizaciones para sus productos de remover completamente a DigiNotar de la lista de entidades emisoras de confianza, una medida sin precedentes, aplaudida por la comunidad de seguridad informática.

En primer lugar esto es necesario porque todavía no está clara la forma en que se expidió el certificado malintencionado y hasta que la situación no se aclare, no se puede confiar en ningún certificado de DigiNotar.

También se espera que la drástica medida sirva como una advertencia para las otras entidades emisoras de certificados de lo que puede suceder si no toman en serio la seguridad y no imponen restricciones en sus procesos de emisión de certificados.

Autor: Lucian Constantin

Traducción:Velcro

Fuente: Softpedia

Anuncios