Symantec fue detectado una vez más emitiendo certificados HTTPS ilegítimos de forma incorrecta

Hace aproximadamente 16 meses, se descubrió que Symantec distribuía certificados criptográficos firmados incorrectamente que podrían usarse para romper la protección HTTPS y poner en riesgo a los usuarios. Ahora, la compañía ha sido sorprendida una vez más haciendo algo similar, a pesar de que dicha actividad va directamente en contra de los acuerdos que hizo cuando la sorprendieron rompiendo cosas la última vez.

HTTPS es un protocolo de comunicación seguro construido en el Protocolo de transferencia de hipertexto de Internet (http) con una conexión que está encriptada a través de Transport Layer Security (TLS). El uso de HTTPS para algo más que el comercio web se ha acelerado en los últimos años. Pero esa seguridad solo es válida si tanto su sistema como el servidor web al que se conecta no han sido comprometidos o modificados para aceptar certificados no válidos como si fueran válidos.

Existe una cadena de confianza intrínseca al software: el usuario confía en que su navegador implementa correctamente HTTPS, se debe suponer que las autoridades de certificación (CA) que emiten certificados solo emiten certificados válidos, lo que garantiza que cuando los sitios web envíen un HTTPS válido certificado, ese certificado puede ser de confianza intrínseca. A continuación, se confía en el certificado para validar que el sitio web que está visitando coincide con el del certificado. Hay varios lugares en los que esta cadena de confianza se puede romper de manera que el usuario final no pueda confiar en que la conexión HTTPS aparentemente válida que han establecido es la que pretendían hacer.



Según investigador de seguridad Andrew Ayer, Symantec ha emitido 108 credenciales en violación de las estrictas pautas de la industria que la organización acordó cumplir cuando cometió este error en 2015. Nueve de los certificados se emitieron sin el permiso o conocimiento de las órdenes de dominio afectadas, mientras que los otros 99 fueron emitido a empresas con datos obviamente falsos, Ars Technicainformes. Ayer escribe: 'Dudo que haya una organización llamada' prueba 'ubicada en' prueba, Corea '.

ssl-trabaja

Cómo funciona SSL, en general.

Esto es un problema porque a pesar de que los certificados fueron revocados, en la mayoría de los casos dentro de una hora después de su emisión, los navegadores no necesariamente verifican si un certificado ha sido validado recientemente para su uso. También existen técnicas que un autor de malware puede utilizar para impedir que un navegador confirme un certificado. En ese caso, otros navegadores pueden 'fallar al abrirse', lo que significa que permiten que los datos se carguen desde una fuente ilícita en lugar de tratar al servidor como hostil, si las credenciales del certificado no se pueden comparar con una lista de revocación dentro de un cierto período de tiempo. .

Problemas como este y como el Escándalo de seguridad de Superfish de hace varios años, son parte de por qué es increíblemente difícil proteger Internet. Pero Symantec ha sido denunciado antes por exactamente este tipo de violación de seguridad, y terminó despidiendo a varios empleados la última vez. De hecho, esa es la razón por la que la empresa quedó atrapada: después de su error de 2015, Google requirió que Symantec registrara todos los certificados que emitió de una de sus Autoridades de certificación.

Symantec ha publicado la siguiente declaración:

Symantec se ha enterado de una posible situación relacionada con la emisión incorrecta de certificados que involucra a Symantec y otras autoridades de certificación. Actualmente estamos recopilando los hechos sobre esta situación y proporcionaremos una actualización una vez que hayamos completado nuestra investigación y verificado la información.

Copyright © Todos Los Derechos Reservados | 2007es.com