RSS
Facebook
G+

Buscador de IntercambioSOS:


Retroceder   Foro de Ayuda IntercambiosvirtualeS > Sociales, Noticias & Entretenimiento > Noticias

Respuesta
 
Herramientas Desplegado
Antiguo 01-mar-2018     #1
Predeterminado 23.000 certificados HTTPS cancelados por una filtración masiva



Una filtración masiva ha puesto de manifiesto el riesgo sobre los certificados HTTPS. No por la protección que garantizan a los usuarios, por el cifrado de las comunicaciones entre servidor y cliente, sino por el tratamiento que se hace sobre las claves TLS. Este importante problema ha tenido lugar por el envío a través de correo electrónico de las claves correspondientes a 23.000 certificados HTTPS. Evidentemente, esto es algo que no debería hacerse en ningún caso.

Un certificado HTTPS sirve, básicamente, para que cualquier dato intercambiado entre un servidor y cliente –por ejemplo, una web y su visitante- sea cifrado de extremo a extremo. En esta ecuación, uno de los puntos críticos es la clave privada. Esto es precisamente lo que ha enviado por mail el vicepresidente ejecutivo de DigiCert, una autoridad certificadora que ha tomado el legado de Symantec después que esta compañía haya sido penalizada por Google, a través del navegador web Google Chrome. Pero no envió una –que tampoco debería hacerlo-, sino que envío adjuntas en un mail 23.000 claves privadas.

Un mail, un archivo adjunto, y 23.000 claves que han puesto en riesgo a miles (o millones) de usuarios de Internet
Enviar un archivo adjunto es algo normal en los mensajes de correo electrónico. Pero enviar las claves privadas de nada menos que 23.000 certificados HTTPS, supone poner en riesgo toda la seguridad de las 23.000 páginas web a las que corresponden tales certificados. Y eso, evidentemente, supone exponer la información de los miles, o incluso millones, de usuarios que utilizan tales portales web. Entre los cuales, por cierto, se desconoce pero perfectamente podrían estar portales web que gestionen información bancaria de sus usuarios. Comercios electrónicos, por ejemplo.

Es indudable que se trata de una enorme irresponsabilidad, en tanto que intervenir una comunicación por mensajes de correo electrónico es relativamente sencillo. El tratamiento de este tipo de claves no debería llevarse a cabo de esta manera en ningún caso. Tanto Google como Mozilla y otras compañías de su sector han puesto un especial esfuerzo en los últimos meses por proteger a los usuarios de Internet imponiendo el despliegue de las certificaciones HTTPS. Y este suceso es absolutamente contrario a sus movimientos por impulsar la protección de los usuarios en la Red.









FUENTE

Responder Citando
Respuesta


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Certificados Digitales y HTTPS albertoraul64 Seguridad 6 10-may-2013 17:12


Desarrollado por: vBulletin® Versión 3.8.1
Derechos de Autor ©2000 - 2024, Jelsoft Enterprises Ltd.
Ad Management by RedTyger