Categories: Seguridad

Más problemas para Symantec con la emisión de sus certificados TLS

El proveedor de certificados TLS Symantec ha sido sometido a una prueba por el investigador Hanno Böck respecto al trámite incorrecto de sus certificados. Según el blog de Böck, el investigador registró un par de dominios, creó un conjunto de claves falsas privadas y recibió certificados TLS gratuitos de Symantec y Comodo.

“No se produjo un daño mayor porque el certificado solo se emitió para mi propio dominio de prueba, pero yo también podría haber falsificado las claves privadas de los certificados de otras personas y, es probable que Symantec los hubiera revocado también, causando tiempos de inactividad para esos sitios. Incluso yo podría haber creado fácilmente una clave falsa perteneciente al propio certificado de Symantec”, ha especificado Böck.

El investigador de seguridad ha explicado que durante su proceso de revocación, Symantec nunca le dijo por qué su certificado legítimo estaba siendo revocado, e incluso después de decirle a Symantec que su clave falsa era defectuosa, el certificado quedó revocado.

En la actualidad, Symantec está luchando con Google y Mozilla porque los navegadores Chrome y Firefox no reduzcan la confianza en los certificados emitidos por la compañía.

En marzo, el ingeniero de Google, Ryan Sleevi, manifestó que después de una “serie de fallos” de Symantec, Google cree que sus usuarios se enfrentan un riesgo significativo.

En el transcurso de la investigación llevada a cabo por Google, “Symantec permitió que al menos cuatro partes tuvieran acceso a su infraestructura de una manera que causara la emisión de certificados, no supervisaron suficientemente estas capacidades como se requería y cuando se presentaron pruebas de que las organizaciones no cumplían con el estándar apropiado, se les informó”.

En respuesta, Symantec prometió una auditoría que daría lugar a una mayor transparencia. Esta semana, la compañía ha solicitado que la fecha para publicar la desconfianza en sus certificados emitidos antes de junio de 2016 pase de la fecha límite del 31 de agosto al 1 de mayo de 2018.

Rosalía Rozalén

Periodista especializada en Tecnología desde hace más de una década. Primero informando sobre el canal de distribución, después sobre las grandes corporaciones y ahora hacia un enfoque más IT Pro. Apasionada de la comunicación con la revolución social media que estamos viviendo.

Recent Posts

Las ventas anuales de AWS aumentan un 19 %

Amazon Web Services aportó a Amazon 107.600 millones de los 638.000 millones de dólares acumulados…

17 mins ago

Más allá de la automatización: el poder de los agentes de IA

Conversacionales, transaccionales, de ambiente... Existe un agente de IA prácticamente para cualquier proceso, algo que…

1 hora ago

Silicon Pulse: Titulares de la semana T3E4

En el episodio de Silicon Pulse de esta semana, España lanza el Observatorio de Derechos…

10 horas ago

Un 98 % de los tecnólogos señala la IA como tecnología más disruptiva hasta la fecha

La mayoría (84 %) también piensa que la inteligencia artificial tendrá una contribución significativa a…

18 horas ago

Escalado y calidad de los datos, retos para la IA en EMEA

Los países de Europa, Oriente Medio y África son los más optimistas respecto a esta…

19 horas ago

La Asociación de Robótica Móvil Española premiará proyectos innovadores con 50.000 euros

La primera edición de los ARME Awards busca ideas para los sectores aroespacial, turístico, agroganadero,…

19 horas ago