This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Turquía Certificate Authority screwup lleva a Google intentó suplantación

Filed Under: Apple Safari, Featured, Firefox, Google, Google Chrome, Internet Explorer, Privacy, Vulnerability, Web Browsers

Cortesía de Shutterstock candado roto Algunos días me siento como un disco rayado que sigue repitiendo la misma historia . Hoy meme repetición? Certificado cuestiones Certificados de autoridad que conducen a los usuarios de Google son espiados.

Google detectó por primera vez el problema, usando Chrome certificado de clavos , el 24 de diciembre, de acuerdo con un blog titulado "Mejora de la seguridad certificado digital".

Ese título es un poco engañoso, ya que esta notificación no era en absoluto de forma proactiva la mejora de la seguridad de los certificados digitales, y no más de un fregado hasta de un accidente de gran tamaño.

Un usuario de Google Chrome desconocido fue alertado de un certificado válido firmado Google que en realidad no pertenecen a Google.

Alguien estaba tratando de realizar un ataque man-in-the-middle contra la seguridad de las comunicaciones de este usuario destinados a Google.

No sabemos donde esto ocurrió, pero técnicamente no importa mucho. Esto significa que una entidad emisora ​​de certificados ya sea expedido certificados a alguien que no los tiene o comprometida.

Lo que creo que quiere decir es lo que he dicho antes: no podemos confiar en la entidad emisora ​​de certificados actual basado SSL / TLS sistema. Se rompe y no creo que pueda ser fácilmente corregido.

TurkTrust logo SSL Google miró a la cadena de la firma en el certificado y se determinó el * falso. Google.com certificado fue emitido por una autoridad de certificación intermedia que ganó su autoridad de turco TURKTRUST CA.

Este certificado intermedio parecía extraño y, de hecho, era muy extraño. No se supone que existe.

Después de reportar el incidente, TURKTRUST descubrió accidentalmente que había emitido dos certificados intermedios en lugar de los certificados de sitio normal en agosto de 2011, incluido el utilizado para firmar el certificado falso de Google.

¿Qué es exactamente un certificado intermedio? Sin explicar todo el SSL / TLS proceso certificado, un certificado intermedio es esencialmente una llave maestra que puede crear certificados para cualquier nombre de dominio.

Estos certificados pueden ser utilizados para suplantar a cualquier sitio web a cualquier navegador sin que el usuario final se alertó de que algo está mal. Aún así obtener un candado, sigue mostrando todo como válido.

Cuando usted confía en el candado en su navegador para ser un indicador de la seguridad, no sólo confiar en las entidades emisoras de certificados de confianza ~ 150 por Mozilla, Microsoft y Google.

EFF SSL Observatorio De acuerdo con el Observatorio SSL EFF , los usuarios de Firefox en MS Windows muestreado en 2010 encontró 1.482 autoridades firmantes diferentes (incluyendo certificados intermedios), todo el que el usuario medio ciegamente confiar.

Usted está confiando en que ni uno solo de ellos ha decidido connivencia con alguien que quiera espiar su tráfico, ninguno de ellos tiene un virus o ha sido hackeado y ninguno de ellos se ve obligado por un gobierno para ayudar con una intervención telefónica .

Ejem.

Así que una vez que pasan por el proceso de revocación de los certificados y decidir cuánta confianza futuro para poner en TURKTRUST.

Google ha estado bloqueando certificados firmados por los certificados emitidos erróneamente intermedios para los usuarios de Chrome desde el 26 de diciembre. A finales de este mes se va a revocar la capacidad de certificados firmados por TURKTRUST que parecen tener validación extendida (la selección verde en la barra de direcciones).

Microsoft publicó un aviso hoy la revocación de todos los certificados firmados por los certificados intermedios para todas las versiones compatibles de Windows. Ventanas 8/Server usuarios 2012/RT recibirá esta actualización de forma automática, los que utilizan versiones anteriores de Windows necesitará utilizar Windows Update.

Logo Mozilla Mozilla emitió un comunicado anunciando que será la derogación de los dos certificados intermedios próximo Martes, 08 de enero (hora estándar del Pacífico probablemente) con la próxima versión de Firefox.

Mozilla también revocar el certificado temporalmente TURKTRUST raíz de todo, en espera de una revisión posterior.

Opera todavía no ha hecho un comentario, aunque los usuarios pueden quitar manualmente TURKTRUST de la lista de autoridades raíz de confianza si así lo desean.

Apple, como siempre, no se ha pronunciado sobre cuándo o si se van a tomar medidas para proteger a los usuarios de iOS y Safari en contra de cualquier consecuencias de estos certificados.

Es realmente hora de pasar de este 20-años de edad, sistema mal implementado. Ya sea por la extensión público clave para la Fijación de HTTP , Convergencia , Trusted afirmaciones de claves de certificado ( TACK ) o DNSSEC TLS- , tenemos que recoger algo y empezar a aplicarla.

No tiene por qué ser perfecta para vencer a lo que tenemos. Nos hemos divertido discutir las ventajas y debilidades de estas propuestas durante diez años en las conferencias. Ya es hora de ponernos a trabajar.

Candado roto cortesía de Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.