Mozilla ha introducido cambios a la nueva versión de Firefox para evitar los abusos de certificados de seguridad por parte de los cibercriminales. Mozilla retiró el apoyo a sus certificados de 1024 bits y dejó que expiraran, lo que de forma automática colocó a 107.000 sitios web en el grupo de sitios de dudosa confianza.
La medida de Mozilla se enmarca en las sugerencias de la Estrategia Nacional de Identidades de Confianza en el Ciberespacio (NIST), que pidió a las organizaciones que aceptaran sólo los certificados de 2048 bits.
El propósito de la acción es evitar que vuelvan a surgir ataques con certificados de autentificación falsos como el de Diginotar, en 2011 que permitía a los cibercriminales crear un sitio falso de Google y, como tenía un certificado SSL falso o robado, el navegador no detectaba el problema y los usuarios ingresaban su información en sitios que parecían de confianza.
Google Chrome todavía acepta estos certificados por temor a que el bloqueo de tantos sitios pueda tener un efecto perjudicial en la experiencia de sus usuarios, pero está preparando el cambio.
“Si algún certificado en la cadena de certificados validados corresponde a alguno de los certificados buenos anclados (pinned), Firefox muestra el ícono de un candado cerrado”, explicó Sid Stamm, Director de Ingenierías de Seguridad y Privacidad de Mozilla. “Cuando la raíz del certificado de un sitio anclado no concuerda con el de las Autoridades de Certificación, Firefox rechaza la conexión con un error de anclaje”.
La versión 32 de Firefox asegura los sitios web de Mozilla y Twitter. Las siguientes versiones se concentrarán en perfeccionar los anclajes de certificados de sitios de Google, Tor y Dropbox, entre otros.
Fuentes:
Mozilla certification revocation: 107,000 websites sunk by untrusted torpedo The Register
Firefox boosts protection vs. rogue SSL certificates GMA News
Firefox adds protection against rogue SSL certificates PC World
Actualización de Mozilla da la espalda a los certificados de 1024 bits