Gran revuelo ha causado un correo electronico enviado por el CEO de Trustico al vicepresidente ejecutivo de DigiCert, Jeremy Rowley, ya que contenia las claves privadas de 23,000 certificados https, es decir esta accion compromete la seguridad de 23.000 páginas web a las que corresponden tales certificados. Esto, evidentemente, supone exponer la información de miles o incluso millones de usuarios que utilizan tales portales web que por cierto se desconocen, pero perfectamente podrian ser sitios que gestionan información bancaria de sus usuarios, comercios electrónicos, etc.
A principios de este mes, segun un articulo publicado en arstechnica.com, Trustico notificó a DigiCert que 50,000 certificados emitidos por Symantec debian revocarse por problemas de seguridad por lo cual DigiCert solicitó las pruebas de que estos estaban en peligro, lo que llevo al CEO de Trustico enviar por correo electrónico estas 23,000 claves privadas como evidencia.
A principios de este mes, segun un articulo publicado en arstechnica.com, Trustico notificó a DigiCert que 50,000 certificados emitidos por Symantec debian revocarse por problemas de seguridad por lo cual DigiCert solicitó las pruebas de que estos estaban en peligro, lo que llevo al CEO de Trustico enviar por correo electrónico estas 23,000 claves privadas como evidencia.
Trustico es una empresa que revende y gestiona certificados TLS de
sitios web con sede en Reino Unido. Una empresa que ya rompió relaciones
con Symantec por evitar algunas prácticas de seguridad similares, y que
ahora ha vuelto ha hacer lo mismo
Es indudable que se trata de una enorme irresponsabilidad, en tanto que intervenir una comunicación por mensajes de correo electrónico es relativamente sencillo. El tratamiento de este tipo de claves no debería llevarse a cabo de esta manera en ningún caso. Tanto Google como Mozilla y otras compañías de su sector han puesto un especial esfuerzo en los últimos meses por proteger a los usuarios de Internet imponiendo el despliegue de certificados HTTPS. Y este suceso es absolutamente contrario a sus movimientos por impulsar la protección de los usuarios en la Red.
https y certificados
Respecto a los certificados SSL, estos sirven para brindar seguridad al visitante de su página web, una manera de validar que el sitio es auténtico, real y confiable para ingresar datos personales.
Mas informacion:
https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/
https://www.hacking.land/2018/03/23000-certificados-https-cancelados-por.html
https://diccionarioactual.com/https/
https://www.certsuperior.com/QueesunCertificadoSSL.aspx