23.000 certificados HTTPS cancelados por una filtración masiva
Una filtración masiva ha puesto de manifiesto el riesgo sobre los certificados HTTPS. No por la protección que garantizan a los usuarios, por el cifrado de las comunicaciones entre servidor y cliente, sino por el tratamiento que se hace sobre las claves TLS. Este importante problema ha tenido lugar por el envío a través de correo electrónico de las claves correspondientes a 23.000 certificados HTTPS. Evidentemente, esto es algo que no debería hacerse en ningún caso.
Un certificado HTTPS sirve, básicamente, para que cualquier dato intercambiado entre un servidor y cliente –por ejemplo, una web y su visitante- sea cifrado de extremo a extremo. En esta ecuación, uno de los puntos críticos es la clave privada. Esto es precisamente lo que ha enviado por mail el vicepresidente ejecutivo de DigiCert, una autoridad certificadora que ha tomado el legado de Symantec después que esta compañía haya sido penalizada por Google, a través del navegador web Google Chrome. Pero no envió una –que tampoco debería hacerlo-, sino que envío adjuntas en un mail 23.000 claves privadas.
Un mail, un archivo adjunto, y 23.000 claves que han puesto en riesgo a miles (o millones) de usuarios de Internet
Enviar un archivo adjunto es algo normal en los mensajes de correo electrónico. Pero enviar las claves privadas de nada menos que 23.000 certificados HTTPS, supone poner en riesgo toda la seguridad de las 23.000 páginas web a las que corresponden tales certificados. Y eso, evidentemente, supone exponer la información de los miles, o incluso millones, de usuarios que utilizan tales portales web. Entre los cuales, por cierto, se desconoce pero perfectamente podrían estar portales web que gestionen información bancaria de sus usuarios. Comercios electrónicos, por ejemplo.
Es indudable que se trata de una enorme irresponsabilidad, en tanto que intervenir una comunicación por mensajes de correo electrónico es relativamente sencillo. El tratamiento de este tipo de claves no debería llevarse a cabo de esta manera en ningún caso. Tanto Google como Mozilla y otras compañías de su sector han puesto un especial esfuerzo en los últimos meses por proteger a los usuarios de Internet imponiendo el despliegue de las certificaciones HTTPS. Y este suceso es absolutamente contrario a sus movimientos por impulsar la protección de los usuarios en la Red.
Via: www.adslzone.net