Una vez más una autoridad certificadora intermedia ha emitido un certificado fraudulento para múltiples dominios de Google, lo que permitía que el tráfico cifrado fuera visto por terceros.
El pasado 3 de diciembre Google detectó el uso de los certificados no autorizados y lanzó una investigación. En esta ocasión se han firmado certificados para dominios de Google con certificados intermedios emitidos por la autoridad certificadora intermedia francesa de la Dirección Generaldel Tesoro (Directorate General of the Treasury, (DG Trésor), subordinada al gobierno de Francia (ANSSI).
Según este organismo esto se ha debido a un error humano durante un proceso encaminado a fortalecer la seguridad general de TI del Ministerio de Finanzas de Francia, donde se firmaron los certificados digitales relacionados con dominios de terceros que no pertenecen a la administración francesa. Según el aviso de Google, ANSSI descubrió que el certificado fue empleado en un dispositivo comercial, en una red privada, para inspeccionar el tráfico cifrado con el conocimiento de los usuarios de la red.
Tanto Googlecomo Microsofthan emitido alertas y han bloqueado el uso de estos certificados. Una vez más se evidencia el riesgo que plantea el uso de los certificados y las autoridades de certificación y la confianza de los navegadores. Cuando no ha sido un certificado robado, se ha tratado de un error humano, pero este tipo de problemas son más frecuentes de lo que cabría desear.
Más información:
Further improving digital certificate security
Microsoft Security Advisory (2916652)
Improperly Issued Digital Certificates Could Allow Spoofing
Revocation of an IGC/A branch
Deja una respuesta