Los sitios web utilizan certificados SSL con dos propósitos principales; confidencialidad mediante cifrado del canal de comunicación y autenticidad de la identidad.
La entidad emisora de certificados (CA) Comodo ha anunciado que se han generado recientemente nueve certificados ilegítimos para los siguientes sitios web:
- mail.google.com
- login.live.com
- www.google.com
- login.yahoo.com
- login.skype.com
- addons.mozilla.org
Según Comodo los request para estos certificados se realizaron desde Teherán, Irán.
¿Qué riesgo supone esto?
Si se es capaz de controlar el tráfico de Internet, por ejemplo si eres un gobierno, podrías redirigir el tráfico a determinados sitios haciéndolo pasar por un sitio donde interceptarlo y hacerte con las credenciales de acceso de los usuarios sin su conocimiento y sin levantar sospechas ya que ellos están utilizando una conexión SSL aparentemente segura. Se especula con que el gobierno de Irán quiera controlar el acceso de sus ciudadanos a los sistemas de correo electrónico enumerados anteriormente, a Skype y a la descarga de addons para Mozilla.
¿Por qué a addons.mozilla.org?
Se comenta la posibilidad de que dicho Gobierno quiera evitar la descarga de addons de Mozilla que fortalecen la privacidad en las comunicaciones de los usuarios. Algo que sería un obstáculo para cualquier gobierno dispuesto a interceptar sus comunicaciones.
¿Cómo solucionar este problema?
Una vez que se han identificado los certificados emitidos de forma fraudulenta se están publicando parches que mueven estos certificados al almacen de certificados revocados. Si eres usuario de Microsoft puedes descargar el parche desde aquí.
Más información en el ISC del Sans Institute
Actualización 20110328:
Ya han pasado unos días desde que se hizo público el compromiso de un afiliado de Comodo en Italia y Security by Default, Hispasec o Chema ya han hablado de ello. Incluso ha aparecido por ahí una carta del supuesto atacante y parte del código utilizado para obtener los certificados ya firmados. Al final gran parte de la culpa parece deberse al uso de hardcodes en una DLL.
Yo he decidido habilitar la comprobación OSCP aunque sigue sin ser una solución 100% efectiva como ya comenta Chema.