Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/12/2013
Nous certificats fraudulents per a dominis de Google
Una vegada més una autoritat certificadora intermèdia ha emés un certificat fraudulent per a múltiples dominis de Google, la qual cosa permetia que el tràfic xifrat fora vist per tercers.
El passat 3 de desembre Google va detectar l’ús dels certificats no autoritzats i va fer una investigació. En esta ocasió s’han firmat certificats per a dominis de Google amb certificats intermedis emesos per l’autoritat certificadora intermèdia francesa de la Direcció General del Tresor (Directorate General of the Treasury, (DG Tresor), subordinada al govern de França (ANSSI).
Segons este organisme açò es deu a un error humà durant un procés encaminat a enfortir la seguretat general de TU del Ministeri de Finances de França, on es van firmar els certificats digitals relacionats amb dominis de tercers que no pertanyen a l’administració francesa. Segons l’avís de Google, ANSSI va descobrir que el certificat va ser emprat en un dispositiu comercial, en una xarxa privada, per a inspeccionar el tràfic xifrat amb el coneixement dels usuaris de la xarxa.
Tant Google com Microsoft han emés alertes i han bloquejat l’ús d’estos certificats. Una vegada més s’evidencia el risc que planteja l’ús dels certificats i les autoritats de certificació i la confiança dels navegadors. Quan no ha sigut un certificat robat, s’ha tractat d’un error humà, però este tipus de problemes són més freqüents del que cabria desitjar.
Més informació:
Further improving digital certificate security
http://googleonlinesecurity.blogspot.ro/2013/12/further-improving-digital-certificate.html
Microsoft Security Advisory (2916652)
Improperly Issued Digital Certificates Could Allow Spoofing
http://technet.microsoft.com/en-us/security/advisory/2916652
Revocation of an IGC/A branch
http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html