Mozilla ha introducido cambios a la nueva versión de
Firefox para evitar los abusos de certificados de seguridad por parte de los
cibercriminales. Mozilla retiró el apoyo a sus certificados de 1024 bits y dejó
que expiraran, lo que de forma automática colocó a 107.000 sitios web en el
grupo de sitios de dudosa confianza.
La medida de Mozilla se enmarca en las sugerencias de
la Estrategia Nacional de Identidades de Confianza en el Ciberespacio (NIST),
que pidió a las organizaciones que aceptaran sólo los certificados de 2048
bits.
El propósito de la acción es evitar que vuelvan a
surgir ataques con certificados de autentificación falsos como el de Diginotar,
en 2011 que permitía a los cibercriminales crear un sitio falso de Google y,
como tenía un certificado SSL falso o robado, el navegador no detectaba el
problema y los usuarios ingresaban su información en sitios que parecían de
confianza.
Google Chrome todavía acepta estos certificados por
temor a que el bloqueo de tantos sitios pueda tener un efecto perjudicial en la
experiencia de sus usuarios, pero está preparando el cambio.
“Si algún certificado en la cadena de certificados
validados corresponde a alguno de los certificados buenos anclados (pinned),
Firefox muestra el ícono de un candado cerrado”, explicó Sid Stamm, Director de
Ingenierías de Seguridad y Privacidad de Mozilla. “Cuando la raíz del
certificado de un sitio anclado no concuerda con el de las Autoridades de
Certificación, Firefox rechaza la conexión con un error de anclaje”.
La versión 32 de Firefox asegura los sitios web de
Mozilla y Twitter. Las siguientes versiones se concentrarán en perfeccionar los
anclajes de certificados de sitios de Google, Tor y Dropbox, entre otros.
Fuente: Viruslist.com