Certificado de Google

Estaba leyendo el blog de la EFF.net y me encontré con un post de la semana pasada que se llama Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities
En este post hablan acerca de un certificado de trucho de google que anda en la red hace un tiempo.
Del certificado que les estoy hablando es de los que se utilizan para establecer las conexiones HTTPS con SSL de forma segura siempre y cuando el mecanismo de confianza no falle.
En realidad el problema no recide en google sino el sistema de confianza de certificados el cual ya no es tan seguro hoy en día ya que si comprometemos a la entidad firmante todo lo que sea firmado sera vulnerable.
Por otro lado los certificados fraudulentos no necesitan ser firmados por la misma autoridad firmante que firma los certificados legítimos.
Al parecer el certificado trucho fue firmado por una empresa Holandesa que no tiene relación ninguna con google.
Al día de hoy este certificado trucho ya fue revocado y no nos afectara. Además para mitigar este tipo de ataques Google Chrome ya cuenta con el sistema de public key pinning el cual consta de hardcodear los fingerprints de los certificados de los distintos servicios que brinda Google lo cual implica que otro certificado que no sea el original de Google aunque sea valido el navegador lo rechazara.

Bookmark and Share

Deja un comentario

Tu dirección de correo electrónico no será publicada.