La Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) de Francia fue descubierta creando certificados digitales no autorizados para diversos dominios de Google.
Los certificados fueron creados por una autoridad de certificados (CA) intermedia. “Los certificados intermedios CA llevan la autoridad completa del CA, así que cualquiera que tenga uno puede usarlo para crear un certificado de cualquier sitio que quieren suplantar”, señala Google.
Los certificados SSL son una garantía de identidad de un sitio web, que permite asegurar que el sitio que estás visitando no es un clon fraudulento. Si se obtiene un certificado falso, se puede suplantar una web sin que el navegador note que se trata de una falsificación.
Según Google, el certificado descubierto fue usado en un dispositivo comercial, en una red privada, para inspeccionar tráfico cifrado. Según la empresa, los usuarios de la red sabían que esto estaba ocurriendo, pero la práctica violó los procedimientos de ANSSI.
En un comunicado, la agencia señaló que los certificados fraudulentos fueron resultado de un “error humano, que ocurrió durante un proceso dirigido a mejorar la seguridad general”. ANSSI afirmó que “el error no tuvo consecuencias para la seguridad general de la red, ya sea para la administración francesa o el público en general”.
Google usó este incidente para destacar su proyecto de transparencia de certificados, que busca resolver algunos de los problemas del sistema de certificados SLL que podrían terminar en ataques tipo man-in-the-middle y falsificación de webs. Google propone que los CA adopten un sistema que monitoree y audite los certificados, delatando los CA falsos o cuando un certificado es emitido ilegítimamente.
El sistema sólo será efectivo si los CA adoptan su uso. Esta no es la primera vez que se exponen fallas en los certificados SSL – se cree que la NSA usó ataques man-in-the-middle en el pasado para suplantar a Google.
Link: ZDNet
