4 may. 2014

Mozilla reforzará la verificación de certificados SSL en Firefox

Mozilla planea hacer cumplir más estrictamente las mejores prácticas del sector en certificados SSL en sus próximas versiones de Firefox, a través de un nuevo sistema de verificación de certificados. El nuevo sistema será implementado como librería, llamada "mozilla::pkix". Comenzará a utilizarse en Firefox 31, previsto para julio.

Muchos de los cambios en la verificación de certificados de esta nueva librería son sutiles y están relacionados con los requisitos técnicos establecidos por la organización que reúne a las autoridades de certificación y proveedores de navegadores web. Sin embargo, algunos también se derivan de los cambios de su propia política de seguridad de certificados CA de confianza.

Con la nueva librería de seguridad, Mozilla reforzará y mejorará su sistema de validación de la integridad de los certificados de seguridad utilizados para una sesión SSL para prevenir el uso indebido de CA subordinados (sub-CA) o certificados intermedios, que pueden utilizarse para emitir certificados SSL a cualquier dominio en Internet.

En febrero de 2012, Trustwave, una de las entidades emisoras de certificados de confianza para navegadores, admitió públicamente que había emitido un certificado sub-CA para que terceras empresas pudieran inspeccionar el tráfico SSL que pasa a través de sus redes corporativas. Mozilla dijo en ese momento que el uso de certificados sub-CA para vigilancia del tráfico SSL, incluso en redes corporativas cerradas, es inaceptable.

En enero de 2013 ocurrió otro incidente, cuando un certificado en estado sub-CA fue emitido por Turktrust, la autoridad de certificación de navegadores de Turquía, y se instaló en un dispositivo cortafuegos, con capacidad de monitorizar tráfico SSL por parte de la autoridad municipal de Ankara.

Turktrust aseguró que el certificado en cuestión era uno de los dos que había emitido por error, con status sub-CA, cuando se suponía que eran certificados de CA raíz normales.

Un mes más tarde, Mozilla cambió su política con respecto a CA y exigió a todos los certificados sub-CA que se limitaran técnicamente a nombres de dominio concretos, utilizando extensiones de certificado, o serían públicamente desvelados y auditados como certificados CA normales.

La librería de verificación de certificados mozilla::pkix empezará a ejecutar esos cambios de política en Mozilla, que pretende reforzar la seguridad dentro de su navegador.

Aunque probablemente la mayoría de los usuarios de Firefox no perciban nada, algunos sitios web HTTPS podrían tener problemas. "Si bien hemos realizado numerosas pruebas de compatibilidad, es posible que su certificado de sitio web ya no sea válido con Firefox 31", reconoce el equipo de ingeniería de Mozilla. Pero la compañía asegura también que "esto no debería ser un problema, si se utiliza un certificado emitido por una de las entidades emisoras de certificados del Programa CA de Mozilla, porque ya emiten certificados de acuerdo con esta nueva política de certificación".

Mozilla también ha creado un nuevo programa de recompensas, por el cual concederá 10.000 dólares a quien detecte e informe de cualquier fallo de seguridad crítico encontrado en el código de la nueva librería antes de finales de junio.

Fuente: PCWorld

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!