Las empresas decidieron bloquear certificados digitales falsos distribuidos por una Autoridad Certificante China, que podrían ser utilizados para atacar a usuarios de Macintosh, Windows y Linux. El ingeniero de seguridad de Google, Adam Langley escribió en el blog de su compañía que el problema afecta a numerosos sistemas.
“Los certificados fueron emitidos por una autoridad de certificación intermedia, controlada por una empresa denominada MCS Holdings. El certificado en sí fue emitido por China Internet Network Information Center (CNNIC). CNNIC tiene todas las acreditaciones correspondientes, lo que implica que los certificados falsos contarían con la confianza de casi todos los navegadores y sistemas operativos”.
“Alertamos rápidamente a CNNIC y a los fabricantes de navegadores sobre el incidente, bloqueando el certificado de China Internet Network Information Center (CNNIC) mediante un procedimiento centralizado denominado CRLSet”, agregó Langley.
El ejecutivo de Google explicó que el potencial de daño es mayúsculo, ya que los certificados pueden ser utilizados para interceptar comunicaciones realizadas vía Internet. “En lugar de mantener la clave privada en un módulo de seguridad de hardware adecuado, MCS Holdings lo instaló en un proxy”, explicó Langley, aduciendo que este procedimiento infringe los procedimientos establecidos.
La utilización de un proxy para estas funciones habilitan la posibilidad de interceptar conexiones seguras, al suplantar al destinatario. En algunas ocasiones, este procedimiento es utilizado por las empresas para monitorear las comunicaciones cifradas de sus empleados, o a petición de las autoridades por razones legales.
Mozilla, en tanto, publicó una notificación de seguridad titulada “Revocamos la confianza en certificado intermedio de CNNIC”, donde aseguró a los usuarios de Firefox que el problema está siendo analizado. En el aviso se señala que aunque no se trata de un problema específico de Firefox, el certificado revocado ha sido agregado a sus mecanismos internos de protección y neutralización de amenazas.
“Recomendamos a todos los usuarios actualizar a la última versión deFirefox”, indicó la empresa. La nueva versión de Firefox, que lleva el numeral 37, como asimismo las futuras versiones deFirefox, contendrán el mecanismo One CRL, utilizado para la revocación de los certificados, y para solucionar futuras incidencias de este tipo.
