Debido a incidentes de seguridad, autoridades certificadoras han decidido terminar con la implementación de este protocolo
Un año después de que un incidente de seguridad permitiera a usuarios maliciosos reclamar certificados de encriptación de dominios que no les pertenecían, la autoridad certificadora ha decidió terminar con el ciclo de vida del protocolo TLS-SIN-01, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética.
A comienzos del año pasado Let’s Encrypt, entidad certificadora gratuita, descubrió que la validación basada en TLS-SNI-01 y TLS-SNI-02, el futuro sucesor, podría ser explotada por usuarios malintencionados. Acorde a los expertos en seguridad en redes: “Un atacante o grupo de atacantes podría, por ejemplo, encontrar un nombre de dominio huérfano apuntado a un servicio de alojamiento y usar el dominio, con un certificado no autorizado para hacer que las páginas falsas parezcan más creíbles, sin poseer realmente el dominio”.
En teoría, la extensión SNI en el protocolo TLS debe validar el nombre presentado por el servidor, este es un elemento fundamental, especialmente cuando una única dirección IP sirve a múltiples sitios web. Según los expertos en seguridad en redes, la oportunidad para explotar este error se presenta si el proveedor de hosting omite la verificación de la propiedad de un dominio web.
Ante esta situación, Let’s Encrypt decidió poner fin al ciclo de vida del protocolo TLS-SNI-01 para sus nuevas cuentas, aunque los desarrolladores decidieron extender el soporte para los certificados emitidos con anterioridad al anuncio.
Let’s Encrypt anunció que la fecha límite para dejar de usar TLS-SIN-01 es el próximo 13 de febrero de 2019, mediante un comunicado oficial.
Josh Aas, especialista en ciberseguridad, comentó en una publicación en su blog que, los administradores de sistemas que todavía usen el protocolo TLS-SIN deberán cambiar a los mecanismos de validación DNS-01 y HTTP-01.
“Pedimos disculpas de antemano por cualquier inconveniente que esto pueda producir, pero creemos que esta es la decisión correcta para asegurar la integridad de sus desarrollos web”, concluyó el mensaje de Aas.
0 comments:
Post a Comment