{"id":1298982,"date":"2024-07-31T14:39:14","date_gmt":"2024-07-31T14:39:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/digicert-revocara-mas-de-83-000-certificados-ssl-debido-a-un-descuido-en-la-validacion-de-dominios\/"},"modified":"2024-07-31T14:39:19","modified_gmt":"2024-07-31T14:39:19","slug":"digicert-revocara-mas-de-83-000-certificados-ssl-debido-a-un-descuido-en-la-validacion-de-dominios","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/digicert-revocara-mas-de-83-000-certificados-ssl-debido-a-un-descuido-en-la-validacion-de-dominios\/","title":{"rendered":"DigiCert revocar\u00e1 m\u00e1s de 83.000 certificados SSL debido a un descuido en la validaci\u00f3n de dominios"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>31 de julio de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad web \/ Cumplimiento normativo<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

La autoridad de certificaci\u00f3n (CA) DigiCert advirti\u00f3 que revocar\u00e1 un subconjunto de certificados SSL\/TLS dentro de las 24 horas debido a un descuido en la forma en que verific\u00f3 si un certificado digital se emite al propietario leg\u00edtimo de un dominio.<\/p>\n

La compa\u00f1\u00eda dijo que tomar\u00e1 la medida de revocar los certificados que no tengan la Validaci\u00f3n de Control de Dominio adecuada (VCD<\/a>).<\/p>\n

“Antes de emitir un certificado a un cliente, DigiCert valida el control o la propiedad del cliente sobre el nombre de dominio para el que solicita un certificado utilizando uno de varios m\u00e9todos aprobados por el CA\/Browser Forum (CABF<\/a>),” \u00e9l dicho<\/a>.<\/p>\n

Una de las formas de hacerlo depende de que el cliente configure un Registro DNS CNAME<\/a> que contiene un valor aleatorio que les proporciona DigiCert, que luego realiza una b\u00fasqueda de DNS para el dominio en cuesti\u00f3n para asegurarse de que los valores aleatorios sean los mismos.<\/p>\n

\"La<\/a><\/center><\/section>\n

El valor aleatorio, seg\u00fan DigiCert, tiene como prefijo un car\u00e1cter de subrayado para evitar una posible colisi\u00f3n con un subdominio real que utiliza el mismo valor aleatorio.<\/p>\n

Lo que descubri\u00f3 la empresa con sede en Utah fue que no hab\u00eda incluido el prefijo de gui\u00f3n bajo con el valor aleatorio utilizado en algunos casos de validaci\u00f3n basados \u200b\u200ben CNAME.<\/p>\n

El problema tiene sus ra\u00edces en una serie de cambios que se implementaron a partir de 2019 para renovar la arquitectura subyacente, como parte de la cual se elimin\u00f3 el c\u00f3digo que agregaba un prefijo de gui\u00f3n bajo y posteriormente se “agreg\u00f3 a algunas rutas en el sistema actualizado”, pero no a una ruta que no lo agreg\u00f3 autom\u00e1ticamente ni verific\u00f3 si el valor aleatorio ten\u00eda un gui\u00f3n bajo preagregado.<\/p>\n

“La omisi\u00f3n de un prefijo de subrayado autom\u00e1tico no fue detectada durante las revisiones del equipo multifuncional que se realizaron antes de la implementaci\u00f3n del sistema actualizado”, dijo DigiCert.<\/p>\n

“Si bien ten\u00edamos implementadas pruebas de regresi\u00f3n, esas pruebas no nos alertaron sobre el cambio en la funcionalidad porque las pruebas de regresi\u00f3n estaban enfocadas en flujos de trabajo y funcionalidad en lugar del contenido\/estructura del valor aleatorio”.<\/p>\n

“Lamentablemente, no se realizaron revisiones para comparar las implementaciones de valores aleatorios heredados con las implementaciones de valores aleatorios en el nuevo sistema para cada escenario. Si hubi\u00e9ramos realizado esas evaluaciones, nos habr\u00edamos enterado antes de que el sistema no agregaba autom\u00e1ticamente el prefijo de gui\u00f3n bajo al valor aleatorio cuando era necesario”.<\/p>\n

Posteriormente, el 11 de junio de 2024, DigiCert afirm\u00f3 que renov\u00f3 el proceso de generaci\u00f3n de valores aleatorios y elimin\u00f3 la adici\u00f3n manual del prefijo de subrayado dentro de los l\u00edmites de un proyecto de mejora de la experiencia del usuario, pero reconoci\u00f3 que nuevamente no logr\u00f3 “comparar este cambio de UX con el flujo de subrayado en el sistema heredado”.<\/p>\n

La empresa dijo que no descubri\u00f3 el problema de incumplimiento hasta “hace varias semanas” cuando un cliente an\u00f3nimo se puso en contacto con ellos en relaci\u00f3n con los valores aleatorios utilizados en la validaci\u00f3n, lo que provoc\u00f3 una revisi\u00f3n m\u00e1s profunda.<\/p>\n

Tambi\u00e9n se\u00f1al\u00f3 que el incidente afecta aproximadamente al 0,4% de las validaciones de dominio aplicables, lo que, seg\u00fan un actualizar<\/a> Seg\u00fan el informe relacionado de Bugzilla, afecta a 83.267 certificados y 6.807 clientes.<\/p>\n

Se recomienda a los clientes notificados que reemplacen sus certificados lo antes posible iniciando sesi\u00f3n en sus cuentas de DigiCert, generando una Solicitud de Firma de Certificado (CSR) y volvi\u00e9ndolos a emitir despu\u00e9s de pasar la DCV.<\/p>\n

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) a publicar una alerta, declarando<\/a> que “la revocaci\u00f3n de estos certificados puede causar interrupciones temporales en sitios web, servicios y aplicaciones que dependen de estos certificados para una comunicaci\u00f3n segura”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n