Connect with us

Hola, ¿qué estás buscando?

Martes, 17 Mayo 2022

Noticias

Se revocan más de dos millones de certificados SSL/TLS: consecuencias

certificados SSL

Los certificados digitales son uno de los pilares del protocolo TLS, el que nos asegura que nos estamos conectando al sitio web que hemos puesto en la barra de direcciones y el que cifra las comunicaciones, de manera que solo el sitio web y nosotros podamos ver lo que intercambiamos.

Los emiten las llamadas autoridades de certificación, empresas u organizaciones como Camerfirma, DigiCert o Entrust, y para que podamos conseguir uno deben verificar que tenemos el control del sitio web para el que queremos el certificado, evitando que otras personas intenten suplantarlo.

Una de las mayores autoridades de certificación actuales, Let’s Encrypt, una organización sin ánimo de lucro que ha ganado una popularidad enorme por ser un servicio gratuito y muy fácil de automatizar, ha detectado un posible problema de seguridad en su implementación del método ALPN usado para verificar la propiedad del dominio. Como consecuencia, y aplicando lo establecido en sus políticas, ha decidido revocar el 28 de enero todos los certificados que se hayan verificado con ese método emitidos antes de las 00:48 horas UTC del 26 de enero de 2022.

De entre todos los métodos de validación disponibles, ALPN es el menos usado, por lo que la revocación afecta a menos del 1% del total de certificados activos, según datos de la propia Let’s Encrypt. Puede parecer poco, pero actualmente hay cerca de 220 millones de certificados activos suyos en total, por lo que se revocarán unos 2,2 millones de certificados, aunque es probable que buena parte de ellos se estén usando en servidores no accesibles al público general.

Advertencia, desplázate para continuar leyendo

Esta es la segunda noticia importante relativa a los certificados emitidos por Let’s Encrypt en los últimos meses.  En septiembre del año pasado caducó uno de sus certificados raíz, los que se usan para validar los que emite, lo que pasó desapercibido para los sistemas que se mantienen actualizados, pero afectó a los que no.  En ningún caso se puede achacar estos fallos a Let’s Encrypt, que avisó del cambio y lo preparó con meses de antelación, pero debe llamar la atención sobre la importancia que ha cobrado este servicio y sobre la necesidad de estar al tanto de sus avisos.

José Couto, responsable de Seguridad en Paradigma Digital

Advertencia
Advertencia

Te recomendamos

Actualidad

DEH Online se ha convertido en la empresa pionera española en integrar el sistema de reconocimiento biométrico para solicitar un certificado digital. Así, DEH...

Digitalización

Los avisos de seguridad que mostraba Google Drive cuando identificaba archivos sospechosos tuvieron un gran éxito. Esos avisos ayudaron a muchos usuarios a mantenerse...

Digitalización

Microsoft Defender ha recibido una nueva función llamada «Microsoft Vulnerable Driver Blocklist«, y como su propio nombre indica está pensada para bloquear drivers que...

Noticias

La compañía de ciberseguridad ha descubierto y rastreado un sofisticado complot malicioso de criptomonedas que se dirige a dispositivos móviles con sistemas operativos Android...

Copyright © Total Publishing Network S.A. 2022 | Todos los derechos reservados