23,000 certificados HTTPS cancelados debido una filtración masiva



Gran revuelo ha causado un correo electronico enviado por el CEO de Trustico al vicepresidente ejecutivo de DigiCert, Jeremy Rowley,  ya que contenia las claves privadas de 23,000 certificados https, es decir esta accion compromete la seguridad de 23.000 páginas web a las que corresponden tales certificados. Esto, evidentemente, supone exponer la información de miles o incluso millones de usuarios que utilizan tales portales web que por cierto se desconocen, pero perfectamente podrian ser sitios que gestionan información bancaria de sus usuarios, comercios electrónicos, etc.

A principios de este mes, segun un articulo publicado en arstechnica.comTrustico notificó a DigiCert que 50,000 certificados emitidos por Symantec debian revocarse por problemas de seguridad por lo cual  DigiCert solicitó las pruebas de que estos estaban en peligro, lo que llevo al CEO de Trustico enviar por correo electrónico estas 23,000 claves privadas como evidencia.



 Trustico es una empresa que revende y gestiona certificados TLS de sitios web con sede en Reino Unido. Una empresa que ya rompió relaciones con Symantec por evitar algunas prácticas de seguridad similares, y que ahora ha vuelto ha hacer lo mismo


Es indudable que se trata de una enorme irresponsabilidad, en tanto que intervenir una comunicación por mensajes de correo electrónico es relativamente sencillo. El tratamiento de este tipo de claves no debería llevarse a cabo de esta manera en ningún caso. Tanto Google como Mozilla y otras compañías de su sector han puesto un especial esfuerzo en los últimos meses por proteger a los usuarios de Internet imponiendo el despliegue de certificados HTTPS. Y este suceso es absolutamente contrario a sus movimientos por impulsar la protección de los usuarios en la Red.


https y certificados


HTTPS es un protocolo de aplicación que se basa en el protocolo http, el cual está destinado a la transferencia segura de datos de hipertexto. O sea es la versión segura de http. Este protocolo lo utilizan entidades bancarias, tiendas en línea y cualquier servicio que solicite el envío de datos personales o contraseñas a través de la web. Simplificado, HTTPS no es más que HTTP al cual se le añade una capa seguridad (cifrado) SSL/TLS.

Respecto a los certificados SSL, estos sirven para brindar seguridad al visitante de su página web, una manera de validar que el sitio es auténtico, real y confiable para ingresar datos personales.



Mas informacion:


https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/
https://www.hacking.land/2018/03/23000-certificados-https-cancelados-por.html
https://diccionarioactual.com/https/
https://www.certsuperior.com/QueesunCertificadoSSL.aspx