Mozilla refuerza verificación de certificados SSL en Firefox


Muchos de los cambios en la verificación de certificados de esta nueva librería son sutiles y están relacionados con los requisitos técnicos establecidos por la organización que reúne a las autoridades de certificación y proveedores de navegadores web. Sin embargo, algunos también se derivan de los cambios de su propia política de seguridad de certificados CA de confianza.





Con la nueva librería de seguridad, Mozilla reforzará y mejorará su sistema de validación de la integridad de los certificados de seguridad utilizados para una sesión SSL para prevenir el uso indebido de CA subordinados (sub-CA) o certificados intermedios, que pueden utilizarse para emitir certificados SSL a cualquier dominio en Internet.

En febrero de 2012, Trustwave, una de las entidades emisoras de certificados de confianza para navegadores, admitió públicamente que había emitido un certificado sub-CA para que terceras empresas pudieran inspeccionar el tráfico SSL que pasa a través de sus redes corporativas. Mozilla dijo en ese momento que el uso de certificados sub-CA para vigilancia del tráfico SSL, incluso en redes corporativas cerradas, es inaceptable.

En enero de 2013 ocurrió otro incidente, cuando un certificado en estado sub-CA fue emitido por Turktrust, la autoridad de certificación de navegadores de Turquía, y se instaló en un dispositivo cortafuegos, con capacidad de monitorizar tráfico SSL por parte de la autoridad municipal de Ankara.

Turktrust aseguró que el certificado en cuestión era uno de los dos que había emitido por error, con status sub-CA, cuando se suponía que eran certificados de CA raíz normales.

Un mes más tarde, Mozilla cambió su política con respecto a CA y exigió a todos los certificados sub-CA que se limitaran técnicamente a nombres de dominio concretos, utilizando extensiones de certificado, o serían públicamente desvelados y auditados como certificados CA normales.

La librería de verificación de certificados mozilla::pkix empezará a ejecutar esos cambios de política en Mozilla, que pretende reforzar la seguridad dentro de su navegador.

Aunque probablemente la mayoría de los usuarios de Firefox no perciban nada, algunos sitios web HTTPS podrían tener problemas. "Si bien hemos realizado numerosas pruebas de compatibilidad, es posible que su certificado de sitio web ya no sea válido con Firefox 31", reconoce el equipo de ingeniería de Mozilla. Pero la compañía asegura también que "esto no debería ser un problema, si se utiliza un certificado emitido por una de las entidades emisoras de certificados del Programa CA de Mozilla, porque ya emiten certificados de acuerdo con esta nueva política de certificación".

Mozilla también ha creado un nuevo programa de recompensas, por el cual concederá 10.000 dólares a quien detecte e informe de cualquier fallo de seguridad crítico encontrado en el código de la nueva librería antes de finales de junio.

Fuente:
http://www.pcworld.es/



Otras noticias de interés:

Un año emblemático para problemas de seguridad
Todavía no ha finalizado, no obstante el 2006 es ya un año record en lo que respecta a vulnerabilidades en seguridad. Hay sin embargo una esperanza: solo una pequeña parte de estos errores son de alto riesgo....
Spam, dulce Spam...
Sra. Bun: ¿Tienen algo que no lleve fiambre? Camarera: Bueno, tenemos fiambre, huevos, salchichas y fiambre. Eso no lleva demasiado fiambre. Sra. Bun: ¡Es que yo no quiero fiambre! ...
Microsoft asegura que respeta la privacidad
Después de que saliera a la luz un análisis que acusaba a Microsoft de violar la privacidad de los consumidores de Windows 8 a través de su nueva aplicación SmartScreen, la compañía ha lanzado un mensaje tranquilizador....
Ataques de Malware a través de e-Commerce
Sin lugar a dudas, los desarrolladores de malware con base en Brasil son los que mayor tasa de actividades maliciosas presentan actualmente en la región de América Latina, y de hecho hemos adelantado algo a respecto al abordar las implicancias del ...
Un fallo en Mac podría poner al descubierto datos cifrados
Un experto de seguridad de Mac ha revelado una técnica que los hackers podrían utilizar para controlar los ordenadores de Apple y robar los datos que están escondidos a la vista de los ladrones....
Cómo proteger su privacidad ahora que Facebook es mas social
Facebook anunciaba esta semana que se vuelve más social y que potenciará la interoperabilidad con otras páginas web. Algo que, de nuevo, obliga al usuario a revisar la política de privacidad y a acometer algunos cambios si no quiere que todos sus...
Genbeta.com - Meneame.net y Error500.net atacadas por avisar del timo de ¿Quieres saber quién no te admite en el messenger?
Estos sitios fueron atacados por publicar: ¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos...
W32/Bandera Virus
El gusano, de origen chileno, se propaga a través del correo electrónico, a todos los contactos de la libreta de direcciones de Windows....
Guía útil para navegar en Internet
La Agencia de Protección de Datos difunde recomendaciones para evitar fraudes y ataques en Internet....
Internet Explorer ¿una reliquia del pasado?
¿Se está quedando atrás tecnológicamente el browser dominante? No pocas voces opinan que sí....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • certificados
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • refuerza
  • sabayon
  • seguridad
  • ssl
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • verificacion
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra