26 mar. 2015

Más certificados falsos de Google

Adam Langley, el experto en SSL y criptografía residente de Google, anunciaba hace unos días que se han vuelto a emitir certificados para dominios pertenecientes a Google, pero que no son oficiales. Es necesario revocarlos y dar una explicación de cómo y por qué se han emitido, pues según se mire, puede quedarse en una anécdota o convertirse en un desastre. Pero en cualquier caso, siempre es un problema y acentúa la sospecha sobre el modelo de confianza que se arrastra desde hace tiempo. Veamos los detalles.
Según Langley, la empresa egipcia MCS Holdings, que opera bajo la China Internet Network Information Center (CNNIC) estaba emitiendo estos certificados. Cualquiera puede emitir certificados para cualquier dominio, el problema es que en este caso, cualquier navegador va a confiar en estos en concreto porque ese certificado CNNIC viene incrustado como raíz de confianza en Windows y otros sistemas operativos. ¿Resultado? El navegador no se quejará si eres redirigido y se va a un  (por ejemplo) google.com falso.

En un aviso publicado el martes, Microsoft dijo que ha actualizado su lista de certificados de confianza para revocar todas las credenciales de MCS Holdings.

Contenido completo en Blog de ElevenPaths e Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!