Chrome dejará de confiar en los certificados de las autoridades chinas WoSign y StartCom

Chrome deja confiar en los certificados de las autoridades chinas WoSign y StartCom por fraude

Google ha decidido castigar a las autoridades certificadoras chinas WoSign y a su subsidiaria, StartCom, marcando sus certificados como no confiables a partir de Chrome 61.

Este movimiento viene después de que Google fuese notificada por el equipo de seguridad de GitHub el pasado 17 de agosto de 2016, cuando se detectó que WoSign emitió un certificado para uno de los dominios del portal de repositorios, siendo este asignado a un usuario de la misma plataforma sin su autorización.

Tras ser denunciado el problema, Google llevó a cabo una investigación pública colaborando con Mozilla y una comunidad de expertos en seguridad, la cual terminó con el descubrimiento de otros casos de mala emisión de certificados por parte de WoSign.

Con los resultados sobre la mesa, Google decidió tomar medidas contundentes contra WoSign, limitando en un principio la confiabilidad de los certificados emitidos antes del 21 de octubre de 2016, para luego comenzar con la eliminación de los nombres de dominio de su lista blanca a partir de Chrome 56. Ahora el gigante del buscador ha dado otro pasó más, marcando todos los certificados de WoSign como no confiables a través de la eliminación completa de sus nombres de dominio de la lista blanca, cosa que se aplicará a partir de Chrome 61.

Otros gigantes como Apple y Mozilla ya dejaron de confiar en WoSign y StartCom el año pasado debido a fallos técnicos y de gestión en sus certificados, aplicando estos movimientos a sus respectivos navegadores: Safari y Firefox.

Los problemas con WoSign se destaparon en julio de 2015, cuando fueron reportados por un programador británico de Mozilla, Gervase Markham. Según Markham, un investigador anónimo encontró accidentalmente un fallo al intentar obtener un certificado para los dominios med.ucf.edu y www.ucf.edu, el cual fue aprobado por WoSign, otorgando así el certificado para el dominio principal de la universidad.

Con propósitos de prueba, el investigador en seguridad utilizó un truco contra la base de dominios de GitHub (github.com y github.io), demostrando su control sobre un subdominio. Para su sorpresa, descubrió que WoSign también entregó el certificado para los dominios principales de GitHub.

Ante esta situación, se recomienda a todos los usuarios de certificados de WoSign y StartCom cambiar a otros emitidos por otra entidad que resulte más confiable.

Fuente: The Hacker News

via MuySeguridad

No hay comentarios