Adobe anunció el viernes 23 de Septiembre que pronto podría bloquear los certificados emitidos por la desacreditada holandesa autoridad de certificados DigiNotar. El anuncio se produce tras la decisión el viernes del gobierno holandés, de revocar los certificados emitidos por DigiNotar el 28 de septiembre.

La noticia establece una fecha oficial para el final del apoyo del Gobierno a DigiNotar, que anteriormente había sido el principal proveedor de credenciales en línea para el Gobierno holandés. Tras la descertificación, Adobe dijo que nuevos certificados expedidos por DigiNotar de familias de certificado se marcarían como inválidos para la mayoría de su software, aunque se consideraría válidos los certificados expedidos antes del próximo viernes.

En un anuncio el viernes en un sitio Web del Gobierno, las autoridades holandesas dijeron que la Autoridad Política PKIoverheid  del gobierno (PKIoverheid Policy Authority (PA)) revocará ambos certificados DigiNotar PKIoverheid CA el miércoles, 28 de septiembre del 2011. El gobierno citó un informe del 5 de septiembre por los investigadores forenses con Fox-IT que dijo que era probable que tanto las autoridades de certificación comercial y Gobierno operadas por DigiNotar fueron comprometidas, aunque parece que el Gobierno CA no fue utilizado para emitir certificados fraudulentos. También tomó nota de DigiNotar con la reciente decisión para solicitar protección de bancarrota.

El Gobierno además defendió su decisión de no revocar ambos certificados DigiNotar CA después de que la brecha fue descubierta, diciendo que necesitaba más para comprender plenamente las dimensiones de la violación de seguridad y llevar a cabo un “escenario de transición controlada” a otra entidad emisora de certificados.

En un post correspondiente al viernes, Adobe dice que sus aplicaciones de Acrobat y Reader podrían marcar las firmas digitales creadas con certificados DigiNotar como inválidas, independientemente de la versión del software. Sin embargo, las versiones 9.1 y posteriores de Acrobat y Reader seguirán aceptando las firmas de DigiNotar utilizadas en los documentos existentes como válida y confiable.

Adobe fue una de una serie de empresas que respondieron al compromiso de agosto de revocar la confianza en cientos de certificados de DigiNotar que se encontraron que fueron publicados en forma fraudulenta. Entre ellos se incluyen certificados para dominios pertenecientes a Microsoft, Google, Mozilla, El proyecto Tor y (eventualmente) Apple.

El hackeo se cree que es la obra de un hacker iraní que también se atribuyó un compromiso en Comodo, otra autoridad de certificación, en Marzo de este año. Esto ha levantado serias preocupaciones sobre la seguridad de las comunicaciones Web y de Internet en una época en que los ataques sofisticados – a menudo con motivos políticos y el respaldo de Estados o naciones – son cada vez más frecuente.

Traducción: Velcro

Fuente: threatpost.com

Anuncios