Autoridad certificadora de Brasil, confiada solo por Microsoft, emite un certificado para google.com

 (follow.agwa.name)
1 puntos por GN⁺ 2024-12-01 | 1 comentarios | Compartir por WhatsApp
  • Andrew Ayeragwa14h
    • Una autoridad certificadora de Brasil, en la que Microsoft confía, emitió un certificado para google.com que probablemente no estaba autorizado. Esto podría permitir interceptar el tráfico hacia Google en Edge y otras aplicaciones de Windows, excluyendo Chrome y Firefox. Microsoft conoce bien el historial de problemas relacionados con esta autoridad certificadora, expresó preocupaciones en 2021 y también se plantearon más problemas durante la discusión pública de CCADB en 2022. Ojalá este incidente impulse cambios. Los usuarios de Windows merecen algo mejor.
  • Andrew Ayeragwa12h
    • Como ejemplo de la incompetencia de la autoridad certificadora: que el sujeto del certificado incluya el número de serie de una subsidiaria de Google no significa que haya sido autorizado por Google. La autoridad certificadora puede poner lo que quiera en ese campo, y esta en particular no valida con claridad el contenido que incluye en los certificados.
  • Andrew Ayeragwa10h
    • Los proxies corporativos de ataque de intermediario son muy dañinos.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-12-01
Opiniones en Hacker News

  • Hay preocupación por la suspensión de la emisión de certificados SSL/TLS públicos por parte de ICP-Brasil

    • Hubo un caso en el que alguien eludió la prohibición de emitir certificados públicos e ignoró las reglas CAA de Google
    • Hay opiniones que desean que esta autoridad certificadora sea bloqueada en los sistemas operativos de Microsoft

  • ICP-Brasil es una entidad gubernamental encargada de asuntos relacionados con firmas digitales

    • Cumple un papel importante en la firma de contratos digitales, el acceso a declaraciones de impuestos, etc.

  • Chrome y Firefox ya no confían en esta autoridad certificadora

    • Parece una situación aún peor que Microsoft/Windows confíe en una autoridad certificadora en la que otros navegadores principales no confían

  • Hay opiniones que señalan fallas del sistema

    • Ya desde hace 15 años, al usar banca en línea, se reconocían fallas en el sistema
    • Cuando se preguntó al banco quién emitía su certificado, el banco no pudo responder
    • Es un proceso basado en ignorancia sobre seguridad y confianza ciega

  • Hay una opinión que dice: "Los usuarios de Windows merecen algo mejor"

    • Se menciona la indiferencia de Microsoft hacia sus usuarios y la posibilidad de demandas

  • Hay opiniones que consideran que Microsoft carece de transparencia al confiar en autoridades certificadoras

    • Cualquier sitio web razonable debería usar certificados en los que confíen navegadores principales como Chrome

  • Hay una opinión que se pregunta si existe alguna forma de usar el almacén de confianza de Chrome en Windows/Edge

  • Hay opiniones que quieren conocer la lista de autoridades certificadoras relacionadas con países

  • Hay una opinión de que en la publicación original no queda claro si este problema fue intencional o un error

  • Hay una opinión de que se necesita un sistema en el que entidades independientes otorguen confianza a las autoridades certificadoras y los usuarios puedan considerar la opinión de varias entidades

  • Hay una opinión de que el problema es que las empresas se vuelven demasiado grandes