Mozilla refuerza verificación de certificados SSL en Firefox


Muchos de los cambios en la verificación de certificados de esta nueva librería son sutiles y están relacionados con los requisitos técnicos establecidos por la organización que reúne a las autoridades de certificación y proveedores de navegadores web. Sin embargo, algunos también se derivan de los cambios de su propia política de seguridad de certificados CA de confianza.





Con la nueva librería de seguridad, Mozilla reforzará y mejorará su sistema de validación de la integridad de los certificados de seguridad utilizados para una sesión SSL para prevenir el uso indebido de CA subordinados (sub-CA) o certificados intermedios, que pueden utilizarse para emitir certificados SSL a cualquier dominio en Internet.

En febrero de 2012, Trustwave, una de las entidades emisoras de certificados de confianza para navegadores, admitió públicamente que había emitido un certificado sub-CA para que terceras empresas pudieran inspeccionar el tráfico SSL que pasa a través de sus redes corporativas. Mozilla dijo en ese momento que el uso de certificados sub-CA para vigilancia del tráfico SSL, incluso en redes corporativas cerradas, es inaceptable.

En enero de 2013 ocurrió otro incidente, cuando un certificado en estado sub-CA fue emitido por Turktrust, la autoridad de certificación de navegadores de Turquía, y se instaló en un dispositivo cortafuegos, con capacidad de monitorizar tráfico SSL por parte de la autoridad municipal de Ankara.

Turktrust aseguró que el certificado en cuestión era uno de los dos que había emitido por error, con status sub-CA, cuando se suponía que eran certificados de CA raíz normales.

Un mes más tarde, Mozilla cambió su política con respecto a CA y exigió a todos los certificados sub-CA que se limitaran técnicamente a nombres de dominio concretos, utilizando extensiones de certificado, o serían públicamente desvelados y auditados como certificados CA normales.

La librería de verificación de certificados mozilla::pkix empezará a ejecutar esos cambios de política en Mozilla, que pretende reforzar la seguridad dentro de su navegador.

Aunque probablemente la mayoría de los usuarios de Firefox no perciban nada, algunos sitios web HTTPS podrían tener problemas. "Si bien hemos realizado numerosas pruebas de compatibilidad, es posible que su certificado de sitio web ya no sea válido con Firefox 31", reconoce el equipo de ingeniería de Mozilla. Pero la compañía asegura también que "esto no debería ser un problema, si se utiliza un certificado emitido por una de las entidades emisoras de certificados del Programa CA de Mozilla, porque ya emiten certificados de acuerdo con esta nueva política de certificación".

Mozilla también ha creado un nuevo programa de recompensas, por el cual concederá 10.000 dólares a quien detecte e informe de cualquier fallo de seguridad crítico encontrado en el código de la nueva librería antes de finales de junio.

Fuente:
http://www.pcworld.es/



Otras noticias de interés:

Bug que permitía borrar las fotos de Facebook de los perfiles de otros usuarios
Recientemente, un experto informático llamado Laxman Muthiyah ha descubierto una vulnerabilidad en Facebook que podría haber causado graves problemas a la compañía....
El Windows Longhorn
Windows Longhorn, el sucesor del XP que saldrá a la venta en el año 2006. Según se comenta, este es el proyecto más ambicioso que tiene la gente de Microsoft desde el lanzamiento del Windows NT. ...
Nueva oleada de correo infectado con el virus Bagle.DR
Eset, proveedor global de protección antivirus de última generación, informó que una nueva variante del gusano Bagle.DR comenzó a propagarse este jueves en forma masiva por Internet....
Microsoft dice: No odien a IE 10
Microsoft dice que su última versión de Internet Explorer elimina una gran cantidad de desorden y crea una experiencia de navegación más envolvente cuando se empareja con el medio ambiente táctil de Windows 8, y que también se puede navegar con...
Richard Stallman, Software Libre en Venezuela
Hace unos días tuve el placer de leer que Venezuela comenzó un proyecto para desarrollar una Computadora Venezolana, que usaría el sistema operativo libre GNU/Linux. Cuando inicié el desarrollo del sistema operativo GNU, hace 21 años, lo hice...
Siete tendencias tecnológicas para un entorno corporativo más eficiente
Sin duda alguna, la industria de TI ha aportado gran cantidad de nuevos términos y conceptos que, bajo un marchamo de innovación, se han ido incorporando a los departamentos de tecnología y a las formas de gestión de los entornos empresariales. L...
Ataques SQL inyección aumentan en sofisticación
La intensidad de los ataques de inyección SQL está aumentando, según revela el informe Hacker Intelligence Initiative (HII) de Imperva. ...
EEUU piden investigar aplicaciones móviles
Un senador demócrata de Nueva York ha pedido a la Comisión Federal del Comercio (FTC) de EEUU que investigue las aplicaciones de los teléfonos móviles de Apple y Google que permiten acceder a agendas y fotos privadas de usuarios....
Facebook.com bajo ataque de typosquatting
Los atacantes siempre ponen su cuota de originalidad para propagar amenazas y uno de estos casos es la técnica conocida como Typosquatting. Esta, consiste en registrar nombres de dominios similares a otros conocidos o populares, para así obtener tr...
Microsoft reforzará la seguridad en IE9
Una semana después de que la Comisión Federal de Comercio (FTC) recomendara un mecanismo de protección para el navegador de Microsoft y el Congreso de EEUU debatiera el asunto en una audiencia, los de Redmond han anunciado que implementarán una h...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • certificados
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • refuerza
  • sabayon
  • seguridad
  • ssl
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • verificacion
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra