Filtración de 23000 certificados HTTPS
Se ha publicado la noticia de que han sido filtrados un total de 23000 certificados HTTPS. Una filtración que pone en riesgo las comunicaciones de cualquier usuario de la red con cualquier sitio web de la filtración.
HTTPS es un protocolo por el cual las comunicaciones (conexiones) entre usuario y sitio web son cifradas a través de un certificado que certifica que la entidad con la que estás estableciendo las comunicaciones es la que es, impidiendo que estas comunicaciones puedan ser leídas por agentes externos o intermediarios en la comunicación. Simplificado, HTTPS no es más que HTTP al cual se le añade una capa seguridad (cifrado) SSL/TLS.
La filtración parece haberse producido a través de un correo electrónico por un CEO de “Trustico” a un vicepresidente de “Digicert”. Al parecer este correo venía con un adjunto que contenía hasta 23000 claves privadas de dichos certificados.
Trustico es una empresa que revende y gestiona certificados TLS de sitios web con sede en Reino Unido. Una empresa que ya rompió relaciones con Symantec por evitar algunas prácticas de seguridad similares, y que ahora ha vuelto ha hacer lo mismo
Si ya de por sí, es una mala práctica de seguridad el enviar claves privadas por correo electrónico, a esta se le suma el almacenaje de las claves privadas de los certificados. Una práctica que no debe realizar ninguna entidad certificadora, práctica que justificó la empresa por motivos de revocación
‘Trustico allows customers to generate a Certificate Signing Request and Private Key during the ordering process,” the statement read. “These Private Keys are stored in cold storage, for the purpose of revocation.’
Este hecho que traerá trabajo para los navegadores de Internet, deja en entredicho la seguridad de muchos sitios web y comercios electrónicos que pudieran estar gestionados por esta compañía, y que seguro que nos traerá noticias en los próximos días.
Jose Ignacio Palacios
jipalacios@hispasec.com
@jpalaciosortega
jipalacios@hispasec.com
@jpalaciosortega
Más información:
Ars Technica:
https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/
Powered by WPeMatico