23.000 certificados HTTPS cancelados por una filtración masiva

Actualidad

Una filtración masiva ha puesto de manifiesto el riesgo sobre los certificados HTTPS. No por la protección que garantizan a los usuarios, por el cifrado de las comunicaciones entre servidor y cliente, sino por el tratamiento que se hace sobre las claves TLS. Este importante problema ha tenido lugar por el envío a través de correo electrónico de las claves correspondientes a 23.000 certificados HTTPS. Evidentemente, esto es algo que no debería hacerse en ningún caso.

Un certificado HTTPS sirve, básicamente, para que cualquier dato intercambiado entre un servidor y cliente –por ejemplo, una web y su visitante- sea cifrado de extremo a extremo. En esta ecuación, uno de los puntos críticos es la clave privada. Esto es precisamente lo que ha enviado por mail el vicepresidente ejecutivo de DigiCert, una autoridad certificadora que ha tomado el legado de Symantec después que esta compañía haya sido penalizada por Google, a través del navegador web Google Chrome. Pero no envió una –que tampoco debería hacerlo-, sino que envío adjuntas en un mail 23.000 claves privadas.

Un mail, un archivo adjunto, y 23.000 claves que han puesto en riesgo a miles (o millones) de usuarios de Internet

Enviar un archivo adjunto es algo normal en los mensajes de correo electrónico. Pero enviar las claves privadas de nada menos que 23.000 certificados HTTPS, supone poner en riesgo toda la seguridad de las 23.000 páginas web a las que corresponden tales certificados. Y eso, evidentemente, supone exponer la información de los miles, o incluso millones, de usuarios que utilizan tales portales web. Entre los cuales, por cierto, se desconoce pero perfectamente podrían estar portales web que gestionen información bancaria de sus usuarios. Comercios electrónicos, por ejemplo.

Es indudable que se trata de una enorme irresponsabilidad, en tanto que intervenir una comunicación por mensajes de correo electrónico es relativamente sencillo. El tratamiento de este tipo de claves no debería llevarse a cabo de esta manera en ningún caso. Tanto Google como Mozilla y otras compañías de su sector han puesto un especial esfuerzo en los últimos meses por proteger a los usuarios de Internet imponiendo el despliegue de las certificaciones HTTPS. Y este suceso es absolutamente contrario a sus movimientos por impulsar la protección de los usuarios en la Red.

Escrito por Carlos González

Fuente > ars technica

Continúa leyendo
  • anom7

    Sabéis inglés? Aunque sea nivel de primaria.
    Adslzone:
    “Esto es precisamente lo que ha enviado por mail el vicepresidente ejecutivo de DigiCert…”

    Fuente (ars technica):
    “The email was sent on Tuesday by the CEO of Trustico, a UK-based reseller of TLS certificates issued by the browser-trusted certificate authorities Comodo and, until recently, Symantec. It was sent to Jeremy Rowley, an executive vice president at DigiCert… ”

    A lo mejor tenéis más información que vuestra propia fuente, o quizás como no he leído toda la noticia de ars technica no me he enterado bien.

  • No fue el vicepresidente de DigiCert si no el CEO de un revendedor de DigiCert, Trustico. Que por cierto al parecer (han actualizado la noticia en Ars Technica) la habrían infectado con un código malicioso por parte de crackers y teniendo permisos de “root”. Lo cual es muy grave, y lo “buenos” que son los de Trustico en seguridad. Pero vamos teniendo a su CEO mandando claves privadas por correo, tampoco me extraña…

    Salu2

  • Pingback: Aunque despacio, los navegadores web poco a poco van ganando la batalla de la seguridad()