Ingenieros de seguridad de Google, investigando certificados fraudulentos emitidos para varios de los dominios de la compañía, descubrieron que una autoridad de certificados chino estaba usando una CA intermedia, MCS Holdings, que emitió certificados no autorizados de Google, y podría haber expedido certificados para prácticamente cualquier dominio.
Los ingenieros de Google fueron capaces de bloquear los certificados fraudulentos en el navegador Chrome de la compañía empujando una actualización llamada CRLset, que rastrea certificados revocados. La compañía también alertó a otros proveedores de navegadores al problema, que fue descubierto el 20 de marzo, Google se puso en contacto con funcionarios de CNNIC, el registrador chino que autorizó la CA intermedia, y los funcionarios dijeron que estaban trabajando con MCS para emitir certificados para los dominios que registró.
Pero, en lugar de simplemente hacer eso, y almacenar la clave privada para el registrador en un módulo de seguridad de hardware, MCS puso la llave en un dispositivo proxy diseñado para interceptar el tráfico seguro.
"CNNIC respondió el día 22 para explicar que habían contratado a MCS Holdings con la condicion de que sólo emitiría certificados para dominios que habían sido registrados. Sin embargo, en lugar de mantener la clave privada en un Hardware Security Module (HSM), MCS instalo un proxy-man-in-the-middle. Estos dispositivos interceptan las conexiones seguras al hacerse pasar por el destino deseado y, a veces son utilizados por las empresas para interceptar el tráfico seguro de sus empleados para monitorear o por razones legales ", dijo Adam Langley de Google en un blog el lunes.
"Las computadoras de los empleados normalmente tienen que ser configuradas para confiar en un proxy para que sea capaz de hacerlo. Sin embargo, en este caso, el presunto representante le dio toda la autoridad de una entidad de certificación pública, lo cual es una violación grave del sistema de CA".
Langley dijo que aunque el certificado se bloquea en Chrome y los otros proveedores de navegadores son conscientes del problema, esto no puede ser el fin de esto. La autoridad CNNIC es aceptado por los principales navegadores.
"CNNIC se incluye en todas las tiendas de raíz y así los certificados mal emitidios serían de confianza de casi todos los navegadores y sistemas operativos. Chrome en Windows, OS X, y Linux, ChromeOS, y Firefox 33 en adelante habrían rechazado estos certificados debido al public-key pinning (lista de certificados autorizados), aunque probablemente existen certificados mal emitidos para otros sitios", dijo Langley.
El último caso de la emisión de certificados fraudulentos destaca una de las debilidades clave en el sistema CA: Cada autoridad de certificación tiene la facultad de emitir certificados para cualquier dominio. Es un problema que se ha planteado una y otra vez en los últimos años, y los expertos todavía tienen que encontrar una solución adecuada.
Fuente: ThreatPost
Los ingenieros de Google fueron capaces de bloquear los certificados fraudulentos en el navegador Chrome de la compañía empujando una actualización llamada CRLset, que rastrea certificados revocados. La compañía también alertó a otros proveedores de navegadores al problema, que fue descubierto el 20 de marzo, Google se puso en contacto con funcionarios de CNNIC, el registrador chino que autorizó la CA intermedia, y los funcionarios dijeron que estaban trabajando con MCS para emitir certificados para los dominios que registró.
Pero, en lugar de simplemente hacer eso, y almacenar la clave privada para el registrador en un módulo de seguridad de hardware, MCS puso la llave en un dispositivo proxy diseñado para interceptar el tráfico seguro.
"CNNIC respondió el día 22 para explicar que habían contratado a MCS Holdings con la condicion de que sólo emitiría certificados para dominios que habían sido registrados. Sin embargo, en lugar de mantener la clave privada en un Hardware Security Module (HSM), MCS instalo un proxy-man-in-the-middle. Estos dispositivos interceptan las conexiones seguras al hacerse pasar por el destino deseado y, a veces son utilizados por las empresas para interceptar el tráfico seguro de sus empleados para monitorear o por razones legales ", dijo Adam Langley de Google en un blog el lunes.
"Las computadoras de los empleados normalmente tienen que ser configuradas para confiar en un proxy para que sea capaz de hacerlo. Sin embargo, en este caso, el presunto representante le dio toda la autoridad de una entidad de certificación pública, lo cual es una violación grave del sistema de CA".
Langley dijo que aunque el certificado se bloquea en Chrome y los otros proveedores de navegadores son conscientes del problema, esto no puede ser el fin de esto. La autoridad CNNIC es aceptado por los principales navegadores.
"CNNIC se incluye en todas las tiendas de raíz y así los certificados mal emitidios serían de confianza de casi todos los navegadores y sistemas operativos. Chrome en Windows, OS X, y Linux, ChromeOS, y Firefox 33 en adelante habrían rechazado estos certificados debido al public-key pinning (lista de certificados autorizados), aunque probablemente existen certificados mal emitidos para otros sitios", dijo Langley.
El último caso de la emisión de certificados fraudulentos destaca una de las debilidades clave en el sistema CA: Cada autoridad de certificación tiene la facultad de emitir certificados para cualquier dominio. Es un problema que se ha planteado una y otra vez en los últimos años, y los expertos todavía tienen que encontrar una solución adecuada.
