HPE entre los líderes de almacenamiento de Gartner
Google planea realizar un upgrade de la seguridad de sus certificados SSL (Secure Sockets Layer), un importante componente de las comunicaciones seguras.
Los certificados SSL son utilizados para cifrar las comunicaciones y verificar la integridad de la otra parte con la cual el usuario está interactuando. Su fortaleza se basa en la longitud de las llaves privadas de firma para los certificados.
Las llaves que tienen menos de 1.024 bits son consideradas débiles. Google ha estado usando llaves de 1.024 bits, pero se trasladaría a las llaves de 2.048 bits, escribió Stephen McHenry, director de ingeniería de seguridad de la información, en un post el jueves.
“Comenzaremos a cambiarnos a los nuevos certificados de 2.048 bits el 1 de agosto, para así asegurarnos de tener el tiempo adecuado para un realizar un despliegue cuidadoso antes de fin de año”, escribió. “También vamos a cambiar el certificado raíz que firma todos nuestros certificados SSL porque tiene una llave de 1.024 bits”.
McHenry señaló que la mayor parte del software cliente no tendrá problemas con el cambio, pero que los programas cliente incorporados en algunos teléfonos, impresoras, set top boxes, consolas de juego y cámaras podrían tener problemas.
El ejecutivo escribió que los dispositivos que realizan conexiones SSL con Google tendrán que soportar la validación normal de la cadena del certificado, mantener un amplio conjunto de certificados raíz y soportar Subject Alternative Names (SAN), los cuales permiten que un certificado valide varios hosts.
El movimiento que está realizando Google es prudente, pero el SSL tiene otros puntos débiles.
Cientos de organizaciones alrededor del mundo pueden emitir certificados SSL que se encuentran ligados a las llamadas Certificate Authority. Estas organizaciones, que son intermediarias, han sido blanco de los hackers. Al crearse un certificado SSL falso se puede hacer creer a una persona que está visitando un sitio web legítimos cuando en realidad es falso.
Google fue víctima de uno de estos ataques en el 2011 luego de que fue violada la seguridad de una Certificate Authority llamada DigiNotar. Los hackers generaron por lo menos 500 certificados SSL falsos, incluyendo un certificado que fue utilizado para intentar ataques del tipo ‘hombre en el medio’ contra los usuarios de Gmail en Irán.
En el 2009, el investigador de temas de seguridad Moxie Marlinspike creó una herramienta llamada SSLstrip, la cual permite que un atacante intercepte y detenga una conexión SSL, aunque existe otra herramienta que bloquea este tipo de ataque. Los atacantes que usan la herramienta pueden espiar en cualquier dato que sea enviado a un sitio web falso.
Jeremy Kirk, IDG News Service
