:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/PIGSCK4ITBCVVPOAJEFZ4YCXL4.jpg)
El protocolo SSL, que significa Secure Socket Layer, en realidad no es tan seguro como su nombre lo sugiere. Ya el 2008 trascendió que unos hackers demostraron experimentalmente la capacidad de crear certificados falsos a punta de colisiones MD5.
De la misma manera, en noviembre del 2009 se publicó una falla que permitía, teóricamente, aprovecharse del caracter multi-sesión de las conexiones SSL para interceptar y retransmitir la señal con datos maliciosos adosados a los paquetes válidos. Como el receptor confía en su contenido, los recibe sin hacer preguntas y eso es peligroso cuando un intermediario malicioso le pone comandos para resetear el password y cosas asi.
Un agujero de este porte en el protocolo SSL
Esta vulnerabilidad se aprovechaba en particular de la renegociación de la sesión que tiene lugar en algunas transacciones SSL, por lo que los fabricantes y operadores optaron por mitigar la vulnerabilidad deshabilitando la renegociación. Un estudiante turco demostró, por ejemplo, que se podía usar esa falla para resetear el password de una cuenta Twitter cualquiera. Twitter respondió quitando la renegociación SSL y con eso dejó sin funcionar a una docena de aplicaciones cliente.
Esto claramente no es lo ideal, e implica dejar de soportar un aspecto del estándar SSL, por lo que era necesario sacar un arreglo que no obligara a mutilar las funcionalidades. Ese arreglo se publicó hoy, y aunque pasarán semanas hasta que todos los interesados terminen de aplicar el parche, podríamos decir que el agujereado estándar de seguridad vuelve a ser seguro, hasta la próxima falla al menos.
Link: Fix finalized for SSL protocol hole (The Register)
