También te puede interesar:
Mozilla planea hacer cumplir más estrictamente las mejores
prácticas del sector en certificados SSL en sus próximas versiones de
Firefox, a través de un nuevo sistema de verificación de certificados.
El nuevo sistema será implementado como librería, llamada
"mozilla::pkix". Comenzará a utilizarse en Firefox 31, previsto para
julio.
Lucian Constantin, IDG News Service
Muchos de los cambios en la verificación de certificados de esta nueva
librería son sutiles y están relacionados con los requisitos técnicos
establecidos por la organización que reúne a las autoridades de
certificación y proveedores de navegadores web. Sin embargo, algunos
también se derivan de los cambios de su propia política de seguridad de certificados CA de confianza.
Firefox has used technology known as Network Security Services (NSS) to
help validate the integrity of security certificates used for an SSL
session. Mozilla is now trying out a new security library called
mozilla::pkix to enhance and improve certificate validation checking. -
See more at:
http://www.eweek.com/security/mozilla-aims-to-improve-firefox-browser-ssl-security.html#sthash.FcwFoti8.dpuf
Con la nueva librería de seguridad, Mozilla reforzará y mejorará su sistema de validación de la integridad de los certificados de seguridad utilizados para una sesión SSL para prevenir el uso indebido de CA subordinados (sub-CA) o certificados intermedios, que pueden utilizarse para emitir certificados SSL a cualquier dominio en Internet.
En febrero de 2012, Trustwave, una de las entidades emisoras de
certificados de confianza para navegadores, admitió públicamente que
había emitido un certificado sub-CA para que terceras empresas pudieran
inspeccionar el tráfico SSL que pasa a través de sus redes corporativas.
Mozilla dijo en ese momento que el uso de certificados
sub-CA para vigilancia del tráfico SSL, incluso en redes corporativas
cerradas, es inaceptable.
En enero de 2013 ocurrió otro incidente, cuando un certificado en
estado sub-CA fue emitido por Turktrust, la autoridad de certificación
de navegadores de Turquía, y se instaló en un dispositivo cortafuegos,
con capacidad de monitorizar tráfico SSL por parte de la autoridad
municipal de Ankara.
Turktrust aseguró que el certificado en cuestión era uno de los dos que
había emitido por error, con status sub-CA, cuando se suponía que eran
certificados de CA raíz normales.
Un mes más tarde, Mozilla cambió su política con
respecto a CA y exigió a todos los certificados sub-CA que se limitaran
técnicamente a nombres de dominio concretos, utilizando extensiones de
certificado, o serían públicamente desvelados y auditados como
certificados CA normales.
La librería de verificación de certificados mozilla::pkix empezará a ejecutar esos cambios de política en Mozilla, que pretende reforzar la seguridad dentro de su navegador.
Aunque probablemente la mayoría de los usuarios de Firefox no
perciban nada, algunos sitios web HTTPS podrían tener problemas. "Si
bien hemos realizado numerosas pruebas de compatibilidad, es posible que
su certificado de sitio web ya no sea válido con Firefox 31",
reconoce el equipo de ingeniería de Mozilla. Pero la compañía asegura
también que "esto no debería ser un problema, si se utiliza un
certificado emitido por una de las entidades emisoras de certificados
del Programa CA de Mozilla, porque ya emiten certificados de acuerdo con esta nueva política de certificación".
Mozilla también ha creado un nuevo programa de
recompensas, por el cual concederá 10.000 dólares a quien detecte e
informe de cualquier fallo de
seguridad crítico encontrado en el código de la nueva librería antes de finales de junio.
Fuente http://www.pcworld.es/seguridad/mozilla-refuerza-la-verificacion-de-certificados-ssl-en-firefox
