Apple, tendencia del dólar de Microsoft, se niega a bloquear certificados raíz chinos no autorizados

Android-IOS-Iphon

Empresas como Apple, Google, Mozilla y Microsoft pueden competir entre sí en los mercados de sistemas operativos y navegadores, pero cuando se trata de problemas de seguridad, tienden a actuar en conjunto. Defectos en estándares comunes, como OpenSSL, suelen ser parcheados por todas las partes en breve para garantizar que los usuarios permanezcan seguros. Es un poco sorprendente ver a Apple y Microsoft romper con Google y Mozilla con respecto a las fallas de seguridad reveladas recientemente con la Autoridad de Certificación CNNIC.

Para revisar: Hace unas pocas semanas, los investigadores de seguridad descubrieron que el Centro de Información de la Red de Internet de China (CNNIC) había entregado indebidamente la autoridad a un emisor de certificados intermedio y permitió que esa empresa, MCS Holdings, emitiera certificados para los dominios propiedad de Google. Esa es una brecha fundamental de cómo se supone que funciona el sistema de autoridad de certificación, y abrió la posibilidad de ataques man-in-the-middle (MITM). Google y Mozilla se pusieron en contacto con CNNIC y informó lo siguiente:

“CNNIC respondió el 22 para explicar que habían contratado a MCS Holdings sobre la base de que MCS solo emitiría certificados para los dominios que ellos habían registrado. Sin embargo, en lugar de mantener la clave privada en un HSM (Módulo de seguridad de hardware) adecuado, MCS la instaló en un proxy de intermediario. Estos dispositivos interceptan conexiones seguras haciéndose pasar por el destino previsto y, a veces, las empresas los utilizan para interceptar el tráfico seguro de sus empleados por motivos legales o de supervisión '.



Main_the_middle

Como resultado, tanto Google como Mozilla decidieron eliminar la confianza de cualquier certificado emitido por CNNIC. Esto significa que cada vez que un navegador encuentra un certificado firmado por esa autoridad, reaccionará como si el certificado no fuera confiable. (Si estos avisos realmente mejoran la seguridad es un tema de debate). Mozilla declaró que las acciones de CNNIC eran una 'violación atroz' de las políticas de confianza de la Fundación.

Apple y Microsoft, sin embargo, han optado por reaccionar de manera diferente y han seguido lo que podría llamarse el camino intermedio. Microsoft lanzó un actualización de seguridad que invalidaba los certificados emitidos por MCS Holdings, pero se negó a tomar medidas contra CNNIC. La lista de certificados de confianza de Apple, disponible aquí, continúa mostrando a CNNIC como una fuente confiable, a pesar de la fuerte acción de Google y Mozilla. No está claro si Apple alguna vez confió en MCS Holding, ya que una página de archive.org del 6 de enero no muestra a la empresa como aparece en la página de certificados de confianza de Apple.

CNNIC criticó la decisión de Google y Mozilla de eliminarlo de la lista como 'inaceptable e ininteligible', pero no está claro por qué dos firmas importantes tomarían este paso mientras otras dos se niegan a comentar sobre la situación. No está claro en este momento si esto refleja entendimientos previos con el gobierno chino o un enfoque fundamentalmente diferente de la seguridad de los dispositivos. En teoría, bloquear los certificados de MCS Holdings (como lo ha hecho MS) debería evitar que el exploit se utilice en la naturaleza; es posible que las cuatro empresas simplemente no estén de acuerdo sobre cómo tratar la situación. Esto podría crear rarezas con ciertas configuraciones del sistema, en las que algunos navegadores arrojan errores de seguridad mientras que otros no.

Copyright © Todos Los Derechos Reservados | 2007es.com