Mozilla y Microsoft han anunciado que dejarán de confiar en una autoridad de certificación (CA) raíz que ha sido acusada de emitir certificados fraudulentos con fines maliciosos. La CA, llamada WoSign, tiene su sede en China y ha sido investigada por ambos proveedores de navegadores desde 2016, cuando los investigadores de seguridad descubrieron que había emitido certificados para dominios que no poseía ni controlaba.
Según el blog de seguridad de Mozilla, WoSign se había involucrado en múltiples prácticas que violaban los estándares y políticas de la industria para las CA, como certificados retroactivos para evitar la prohibición de SHA-1, un algoritmo criptográfico débil que los atacantes pueden romper fácilmente. WoSign también adquirió otra CA, llamada StartCom, sin revelar el trato al público ni a los proveedores de navegadores, y continuó emitiendo certificados bajo ambas marcas sin la debida supervisión o auditorías.
Mozilla y Microsoft decidieron revocar su confianza en WoSign y StartCom después de concluir que las CA no habían abordado los problemas y demostrado su cumplimiento con los estándares requeridos. Esto significa que los navegadores Firefox o Edge no podrán acceder a ningún sitio web que utilice un certificado emitido por WoSign o StartCom, a menos que los usuarios anulen manualmente las advertencias de seguridad. La revocación entrará en vigor en septiembre de 2023 para Mozilla y en octubre de 2023 para Microsoft.
El movimiento de Mozilla y Microsoft es un paso importante para proteger la seguridad y la privacidad de sus usuarios, así como para mantener la integridad y responsabilidad del sistema CA. Las CA son responsables de verificar la identidad y la propiedad de los sitios web y de emitir certificados digitales que permiten la comunicación cifrada entre navegadores y servidores. Si una CA está comprometida o es maliciosa, puede emitir certificados falsos que pueden usarse para hacerse pasar por sitios web legítimos, interceptar tráfico o lanzar ataques de phishing.
Mozilla y Microsoft han instado a los propietarios de sitios web que usan certificados WoSign o StartCom a reemplazarlos con certificados de otras CA de confianza lo antes posible, antes de la fecha límite de revocación. También han alentado a los usuarios a informar sobre cualquier certificado sospechoso o fraudulento que encuentren en línea y a mantener sus navegadores actualizados con los últimos parches de seguridad.
Información clave para profesionales de TI
Desde ciberseguridad y big data hasta desarrollo de software y juegos, IT Brew ofrece las últimas noticias y análisis de tendencias que dan forma a la industria de TI, como solo The Brew puede hacerlo.
suemail@dominio.com
Mozilla y Microsoft han eliminado la autoridad de certificación raíz (CA) TrustCor de sus respectivos navegadores Firefox y Edge, bajo una nube de sospecha sobre sus vínculos informados con empresas de software espía y agencias de inteligencia. Ambos navegadores ya no aceptarán nuevos certificados TrustCor, informa el Washington Post.
Las CA raíz son entidades que autentican las claves que utilizan los navegadores y los sistemas operativos para verificar las conexiones a sitios web legítimos. El proceso de verificación para que una CA raíz esté en los principales navegadores web es costoso y largo, porque el estado de la CA raíz conlleva el potencial de abuso, como vigilancia y secuestro de tráfico. El proceso de aprobación de Firefox, por ejemplo, lleva al menos dos años, según el Washington Post.
En esta publicación de blog, exploraremos por qué la eliminación de TrustCor es un evento importante para la industria de TI y lo que significa para la seguridad y privacidad web. También discutiremos algunas de las mejores prácticas para que los profesionales de TI protejan sus activos en línea y a los usuarios de actores malintencionados que pueden explotar las CA raíz comprometidas.
TrustCor, una empresa que afirma brindar servicios de comunicación seguros y privados, ha sido objeto de escrutinio recientemente por sus conexiones y prácticas sospechosas. The Post reveló en noviembre que TrustCor tiene vínculos con varias otras empresas que están involucradas en software espía, recolección de datos y ataques cibernéticos. Estos incluyen Measurement Systems, una empresa panameña que incorporó un kit de desarrollo de software malicioso (SDK) en una aplicación que desarrolló TrustCor, y Packet Forensics, una empresa que ofrece herramientas para interceptar y manipular el tráfico en línea. The Post también informó que la dirección de TrustCor es falsa y que su sitio web presenta información obsoleta e inexacta sobre su liderazgo.
Las actividades de TrustCor plantean serias dudas sobre su confiabilidad como autoridad certificadora (CA), un rol que le permite emitir certificados digitales que verifican la identidad y la seguridad de los sitios web. Si TrustCor abusara de su estado de CA, podría comprometer la seguridad y la privacidad de millones de usuarios de Internet. Por ejemplo, podría emitir certificados falsos para hacerse pasar por sitios web legítimos, o podría interceptar y descifrar comunicaciones cifradas.
Mozilla, el desarrollador del navegador Firefox, ha decidido revocar el estado de CA de TrustCor, citando sus vínculos inaceptables con la distribución de malware. TrustCor no ha respondido a la decisión de Mozilla, excepto para decir que está decepcionado y que no perderá el tiempo con una respuesta. Esto sugiere que TrustCor no se preocupa por la seguridad y la privacidad de sus clientes y de la comunidad de Internet en general.
El caso de TrustCor es un recordatorio de la importancia de la transparencia y la responsabilidad de las CA, así como de la necesidad de que los usuarios estén atentos e informados sobre la seguridad de sus comunicaciones en línea. Puede que TrustCor no sea la única CA que participe en actividades cuestionables o maliciosas, y los usuarios siempre deben comprobar la validez y el origen de los certificados que encuentran en línea.
