Un fallo de seguridad reciente en la plataforma StartSSL., podía permitir a un pirata informático hacerse con el certificado de una web de la que él no es propietario
Los certificados digitales tienen varias finalidades. Además de permitirnos establecer conexiones cifradas con el protocolo HTTPS para evitar que usuarios intermedios puedan hacerse con la información que transferimos, también nos permiten saber si una web es fiable y por quién está siendo controlada, algo que, por ejemplo, en el caso de las webs HTTP sin certificado digital, es imposible.
StartSSL utiliza una técnica de validación con la que poder demostrar que somos los dueños del dominio. Para ello, nos pide enviar a su servidor correos de verificación desde diferentes cuentas de correo (por ejemplo, Webmaster, Postmaster y Hostmaster) creadas en el mismo dominio para el que queremos crear el certificado.
Si durante el proceso de verificación aprovechamos la
vulnerabilidad del servidor, del tipo “Unvalidated Input“, es posible cambiar
las direcciones de verificación por cuentas de correo convencionales, por
ejemplo, creadas en Gmail. De esta manera, aunque StartSSL nos envía mensajes
un mensaje de verificación a una supuesta cuenta dentro del dominio que
queremos certificar, es posible recibir dicho correo en una cuenta cualquiera
y, con él, proceder a la generación del correspondiente certificado.
Si esta técnica la aplicamos a un dominio de prestigio como Google, Outlook, Skype o Facebook, fácilmente se pueden generar certificados totalmente válidos con los que engañar a posibles víctimas potenciales de ataques informáticos.
Los responsables de seguridad de StartSSL solucionaron la
vulnerabilidad apenas unas horas después de ser reportada.
Fuente: oalmanna
Fuente: oalmanna
