Se descubren miles de certificados emitidos para nombres no calificados.

Se han descubierto que las autoridades certificadoras han emitido miles de certificados para nombres inválidos y absurdos como «localhost» y «exchange.»

El reciente ataque a Comodo y varias otras autoridades de registro para SSL/TLS ha servido como pretexto para hacer revisiones  respecto de las formas en que trabajan las autoridades certificadoras de Internet o las formas incorrectas en que lo hacen...

La Fundación de la Frontera Electrónica ha publicado descubrimientos que señalan que existen más de 37 mil certificados legítimos, emitidos por las autoridades certificadoras, para nombres no-calificados, como «localhost» y «exchange,» prácticas que pueden simplificar de manera absurda los ataques tipo hombre-en-el-medio (man-in-the-middle).

Aunque emitir un certificado para «localhost» puede llegar a ser cómico (se de algunos que les va a costar trabajo entender el chiste), las autoridades certificadoras han creado un serio riesgo de seguridad para el resto del mundo al firmar otros nombres no-calificados. Imaginen que alguien con malas intenciones recibe un certificado para nombres como «mail» o «webmail»... Sería perfecto para que un atacante suplante la identidad del servidor de correo de alguna corporación con un ataque tipo hombre-en-el-medio.

El escándalo de Comodo, que ya es denominado como «Comodogate,» ha destapado cloacas respecto de como trabajaban las autoridades certificadoras. Y pensar que en manos de estas organizaciones es sobre las cuales se deposita la confianza de la seguridad...

Fuente de información: Slashdot.

Comentarios (0)


Alcance Libre
http://www.alcancelibre.org/article.php/descubren-miles-certs-nombres-nocalifica