Hoy Microsoft ha lanzado la segunda revocación masiva de 2011 y tercera en 10 años, en forma de actualización automática , que ha mejorado en cantidad y calidad.
Marzo 2001. VeriSign
- VeriSign, la empresa líder en emisión de certificados para Internet, en marzo de 2001 emitieron 2 certificados a un impostor que se hizo pasar por trabajador de Microsoft que hubiera permitido, por ejemplo, firmar programas o cualquier software malicioso como si fueran aplicaciones originales de Microsoft.
- McAfee y Symantec se apresuraron en anunciar que sus antivirus cuentan con actualizaciones para detectar los certificados fraudulentos, como si de un virus se tratara.
- Los certificados fueron revocados en la actualización de Microsoft MS01-017. El origen del fallo fue el protocolo de validación, usando la ingeniería social.
- Comodo reconoció que un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org...
- Es la primera vez que se hizo una revocación masiva de certificados SSL y a nivel de dominios importantes.
- Al parecer, el mismo intruso que consiguió emitir los certificados fraudulentos de Comodo, compromete por completo la compañía DigiNotar y se detectan certificados de decenas de dominios importantes.
- La "calidad" de la revocación aumenta, y no sólo se invalidan certificados concretos por "fraudulentos" sino a la entidad entera (sus certificados raíz) por "no confiables". El atacante entró hasta el último recodo de la empresa.
- La confianza en DigiNotar es nula y probablemente desaparezca o cambiará de nombre para intentarlo de nuevo.
- GlobalSign, otra importante empresa certificadora, acaba de confirmar que ha sufrido una intrusión.
- El atacante iraní que afirma ser el autor del compromiso de DigiNotar, también asegura tener acceso a otras entidades certificadoras y la posibilidad de emitir nuevos certificados falsos.
- Aunque PKI esté concebida para sufrir este tipo de revocaciones ocasionales, el hecho de que se utilicen con tanta asiduidad merma la confianza en el modelo.
- Los dispositivos móviles, por ejemplo, cada vez más utilizados para navegar, no es tan sencillo actualizar y revocar certificados...
