Microsoft acaba de anunciar que lanzará una actualización para “revocar su confianza” hacia tres certificados emitidos por la autoridad de certificación (CA) TURKTRUST y sus CAs intermedias, subsidiarias de la Compañía y Fundación de las Fuerzas Armadas Turcas (ELELE). Microsoft explicó que la empresa cometió un par de errores significativos que hicieron que se emitieran certificados fraudulentos que se podían utilizar para interceptar comunicaciones codificadas o espiar en Gmail y en una larga lista de servicios de Google. Una instalación de Crome detectó un “certificado digital no autorizado para el dominio *.google.com@” tarde en la noche del 24 de diciembre de 2012, que el equipo de investigación de Google empezó a investigar de inmediato.
Uno de los errores de TURKTRUST fue emitir dos certificados de forma incorrecta. Creó certificados digitales para *.EGO.GOV.TR y e-islem.kktcmerkezbankasi.org. Pero ninguno de ellos tenía extensiones CRL y OCSP y no estaban bien emitidos como certificados finales de entidades. Estos errores permitieron que la autoridad *.EGO.GOV.TR se utilice con fines maliciosos y emitiera un certificado fraudulento para *.google.com. Microsoft no sólo ha publicado soluciones para este problema de confianza en la autoridad de certificación, sino también para todos los problemas pasados relacionados con autoridades de certificación. La actualización de Microsoft arregla esta lista de propiedades:
*.google.com
*.android.com
*.appengine.google.com
*.cloud.google.com
*.google-analytics.com
*.google.ca
*.google.cl
*.google.co.in
*.google.co.jp
*.google.co.uk
*.google.com.ar
*.google.com.au
*.google.com.br
*.google.com.co
*.google.com.mx
*.google.com.tr
*.google.com.vn
*.google.de
*.google.es
*.google.fr
*.google.hu
*.google.it
*.google.nl
*.google.pl
*.google.pt
*.googleapis.cn
*.googlecommerce.com
*.gstatic.com
*.urchin.com
*.url.google.com
*.youtube-nocookie.com
*.youtube.com
*.ytimg.com
android.com
g.co
goo.gl
google-analytics.com
google.com
googlecommerce.com
urchin.com
youtu.be
youtube.com
Este lanzamiento puede causar algunas confusiones. Las empresas están abordando el incidente de formas diferentes, los tres certificados en los que Microsoft “ha dejado de confiar” no incluyen a TURKTRUST. Pero estas medidas sí incluyen a los certificados de las dos autoridades intermedias y al certificado de propiedad fraudulento de Google. El actualizador que Microsoft lanzó en junio fue de gran ayuda (puedes encontrar la herramienta de actualizaciones en un enlace a la derecha de la página).
Mozilla y Google publicaron información sobre el problema – hay una discusión en marcha en el grupo mozilla.dev.security.policy. Parece que Mozilla es la única de las tres empresas que suspende por completo la confianza en los certificados de raíz de TURKTRUST: “también suspendimos la inclusión del certificado de raíz ‘TÜRKTRUST Bilgi Ýletiþim ve Biliþim Güvenliði Hizmetleri A.Þ. (c) Aralýk 2007’ mientras se lo revisa más a fondo”. Por favor mira los enlaces que están a la derecha de la página para obtener más información sobre las empresas y ver publicaciones sobre problemas con autoridades de certificación en el pasado.
Problemas con la autoridad de certificación TURKTRUST