Connect with us

Hola, ¿qué estás buscando?

Sábado, 7 Septiembre 2024

Noticias

Se revocan más de dos millones de certificados SSL/TLS: consecuencias

certificados SSL

Los certificados digitales son uno de los pilares del protocolo TLS, el que nos asegura que nos estamos conectando al sitio web que hemos puesto en la barra de direcciones y el que cifra las comunicaciones, de manera que solo el sitio web y nosotros podamos ver lo que intercambiamos.

Los emiten las llamadas autoridades de certificación, empresas u organizaciones como Camerfirma, DigiCert o Entrust, y para que podamos conseguir uno deben verificar que tenemos el control del sitio web para el que queremos el certificado, evitando que otras personas intenten suplantarlo.

Una de las mayores autoridades de certificación actuales, Let’s Encrypt, una organización sin ánimo de lucro que ha ganado una popularidad enorme por ser un servicio gratuito y muy fácil de automatizar, ha detectado un posible problema de seguridad en su implementación del método ALPN usado para verificar la propiedad del dominio. Como consecuencia, y aplicando lo establecido en sus políticas, ha decidido revocar el 28 de enero todos los certificados que se hayan verificado con ese método emitidos antes de las 00:48 horas UTC del 26 de enero de 2022.

De entre todos los métodos de validación disponibles, ALPN es el menos usado, por lo que la revocación afecta a menos del 1% del total de certificados activos, según datos de la propia Let’s Encrypt. Puede parecer poco, pero actualmente hay cerca de 220 millones de certificados activos suyos en total, por lo que se revocarán unos 2,2 millones de certificados, aunque es probable que buena parte de ellos se estén usando en servidores no accesibles al público general.

Esta es la segunda noticia importante relativa a los certificados emitidos por Let’s Encrypt en los últimos meses.  En septiembre del año pasado caducó uno de sus certificados raíz, los que se usan para validar los que emite, lo que pasó desapercibido para los sistemas que se mantienen actualizados, pero afectó a los que no.  En ningún caso se puede achacar estos fallos a Let’s Encrypt, que avisó del cambio y lo preparó con meses de antelación, pero debe llamar la atención sobre la importancia que ha cobrado este servicio y sobre la necesidad de estar al tanto de sus avisos.

Advertencia, desplázate para continuar leyendo

José Couto, responsable de Seguridad en Paradigma Digital

Advertencia
Advertencia

Te recomendamos

Noticias

HP ha publicado los resultados de una encuesta mundial que destaca la creciente preocupación por las amenazas dirigidas a las cadenas de suministro físicos...

Digitalización

Según un estudio de Jetcost, tres de cada cuatro españoles tienen previsto viajar este verano, mientras que uno de cada tres estará fuera de...

Noticias

Hace un año se pusieron en funcionamiento los European Digital Innovation Hubs (EDIH) con el objetivo de lograr que el 90% de las pymes...

Protagonistas

Hornetsecurity ha anunciado importantes cambios en su equipo directivo. Carlos Vieira, reconocido profesional del sector, asume el cargo de Country Manager para Iberia, Italia...

Copyright © Total Publishing Network S.A. 2024 | Todos los derechos reservados