Se ha publicado la
noticia de que han sido filtrados un total de 23000 certificados HTTPS. Una
filtración que pone en riesgo las comunicaciones de cualquier usuario de la red
con cualquier sitio web de la filtración.
HTTPS es un protocolo
por el cual las comunicaciones (conexiones) entre usuario y sitio web son
cifradas a través de un certificado que certifica que la entidad con la que
estás estableciendo las comunicaciones es la que es, impidiendo que estas
comunicaciones puedan ser leídas por agentes externos o intermediarios en la
comunicación. Simplificado, HTTPS no es más que HTTP al cual se le añade una
capa seguridad (cifrado) SSL/TLS.
La filtración parece
haberse producido a través de un correo electrónico por un CEO de “Trustico” a
un vicepresidente de “Digicert”. Al parecer este correo venía con un adjunto
que contenía hasta 23000 claves privadas de dichos certificados.
Trustico es una
empresa que revende y gestiona certificados TLS de sitios web con sede en Reino
Unido. Una empresa que ya rompió relaciones con Symantec por evitar algunas
prácticas de seguridad similares, y que ahora ha vuelto ha hacer lo mismo
Si ya de por sí, es
una mala práctica de seguridad el enviar claves privadas por correo
electrónico, a esta se le suma el almacenaje de las claves privadas de los
certificados. Una práctica que no debe realizar ninguna entidad certificadora,
práctica que justificó la empresa por motivos de revocación
'Trustico allows
customers to generate a Certificate Signing Request and Private Key during the
ordering process," the statement read. "These Private Keys are stored
in cold storage, for the purpose of revocation.'
Este hecho que traerá
trabajo para los navegadores de Internet, deja en entredicho la seguridad de
muchos sitios web y comercios electrónicos que pudieran estar gestionados por
esta compañía, y que seguro que nos traerá noticias en los próximos días.
Más información:
Fuente: Hispasec