Hace algo más de una semana Google detectó un certificado falso para el dominio Google.com, tras investigar la procedencia de este certificado se ha identificado a la autoridad certificadora (CA) turca Turktrust Inc. Algunos navegadores ya se han actualizado para revocar estos certificados (Google Chrome) y otros como Firefox se actualizarán en los próximos días para revocarlos automaticamente.

turktrust

 

 La seguridad de un sistema es tan fuerte su eslabón más débil. Este es el caso del sistema de confianza de las autoridades certificadoras (CA), sistema en el cual una brecha de seguridad o un fallo como parece ser este caso provoca un inmenso quebradero de cabeza a todo el mundo. En el sistema de las CA, una CA intermediaria conserva toda la autoridad de la CA raíz y por tanto puede ser usada para crear certificados para cualquier website que un atacante quiera suplantar y cuando una CA emite certificados de CA por error da todo el poder a un posible atacante para firmar todo tipo de certificados como si fueran validos, siendo estos aceptados por sistemas operativos, navegadores... y permitiendo multitud de ataques informáticos.

El problema que ocupa a Google y Microsoft estos días se debe a un grave error cometido por la CA turca Turktrust Inc, la cual creó el pasado Agosto de manera erronea dos certificados de CA (*.ego.gov.tr y e-islam.kktmerkezbankasi.org) cuando lo único que debía haber creado eran dos certificados SSL. El primero de estos certificados de CA fue utilizado para crear el certificado google.com falso detectado por Google Chrome el pasado día 24 de Diciembre. Por su parte Microsoft lanzó un aviso en el que daba cuenta de la existencia de ataques utilizando estos certificados, estos ataques van desde el phishing, hasta ataques man-in-the-middle utilizando la "validez" de los certificados.

Google Chrome se actualizó un día después de la detección para revocar ambos certificados y Mozilla hará lo propio con Firefox en la nueva actualización que estará disponible el próximo martes día 8. Microsoft por su parte ya ha lanzado una pequeña actualización para todos los sistemas Windows para eliminar de la lista de certificados de confianza a estos certificados fraudulentos.

Fuente Mozilla