Una
vez más una autoridad certificadora intermedia ha emitido un certificado fraudulento
para múltiples dominios de Google, lo que permitía que el tráfico cifrado fuera
visto por terceros.
El pasado 3 de diciembre Google
detectó el uso de los certificados no autorizados y lanzó una investigación. En
esta ocasión se han firmado certificados para dominios de Google con
certificados intermedios emitidos por la autoridad certificadora intermedia francesa
de la Dirección General
Según este organismo esto se ha
debido a un error humano durante un proceso encaminado a fortalecer la
seguridad general de TI del Ministerio de Finanzas de Francia, donde se firmaron los
certificados digitales relacionados con dominios de terceros que no pertenecen
a la administración francesa. Según el aviso de Google, ANSSI descubrió que el
certificado fue empleado en un dispositivo comercial, en una red privada, para
inspeccionar el tráfico cifrado con el conocimiento de los usuarios de la red.
Tanto Google
como Microsoft
han emitido alertas y han bloqueado el uso de estos certificados. Una vez más
se evidencia el riesgo que plantea el uso de los certificados y las autoridades
de certificación y la confianza de los navegadores. Cuando no ha sido un
certificado robado, se ha tratado de un error humano, pero este tipo de
problemas son más frecuentes de lo que cabría desear.
Más información:
Further improving digital certificate security
Microsoft Security Advisory (2916652)
Improperly Issued Digital Certificates Could
Allow Spoofing
Revocation of an IGC/A branch
No hay comentarios:
Publicar un comentario