martes, 10 de diciembre de 2013

Nuevos certificados fraudulentos para dominios de Google

Una vez más una autoridad certificadora intermedia ha emitido un certificado fraudulento para múltiples dominios de Google, lo que permitía que el tráfico cifrado fuera visto por terceros. 

El pasado 3 de diciembre Google detectó el uso de los certificados no autorizados y lanzó una investigación. En esta ocasión se han firmado certificados para dominios de Google con certificados intermedios emitidos por la autoridad certificadora intermedia francesa de la Dirección General del Tesoro (Directorate General of the Treasury, (DG Trésor), subordinada al gobierno de Francia (ANSSI).

Según este organismo esto se ha debido a un error humano durante un proceso encaminado a fortalecer la seguridad general de TI del Ministerio de Finanzas de Francia, donde se firmaron los certificados digitales relacionados con dominios de terceros que no pertenecen a la administración francesa. Según el aviso de Google, ANSSI descubrió que el certificado fue empleado en un dispositivo comercial, en una red privada, para inspeccionar el tráfico cifrado con el conocimiento de los usuarios de la red.

Tanto Google como Microsoft han emitido alertas y han bloqueado el uso de estos certificados. Una vez más se evidencia el riesgo que plantea el uso de los certificados y las autoridades de certificación y la confianza de los navegadores. Cuando no ha sido un certificado robado, se ha tratado de un error humano, pero este tipo de problemas son más frecuentes de lo que cabría desear.

Más información:

Further improving digital certificate security

Microsoft Security Advisory (2916652)
Improperly Issued Digital Certificates Could Allow Spoofing

Revocation of an IGC/A branch


Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada