Google deja de confiar en una autoridad de certificados china

El navegador Google Chrome dejará de confiar en todos los certificados expedidos por China Internet Network Information Center (CNNIC), tras abrirse una importante brecha de confianza la semana pasada, que dio lugar a la emisión de credenciales no autorizadas para Gmail y otros dominios de Google.

Esta drástica medida podría tener grandes consecuencias para los usuarios de Chrome en el mundo, que ya no podrán conectarse a bancos, comercios electrónicos o cualquier sitio web que utilice un certificado de CNNIC. Sin embargo esta medida no tendrá efectos inmediatos, y en un intento de darle una oportunidad a los sitios web que usen esos certificados, les dará un tiempo para obtener otros que sean de confianza para Google. Una vez terminado el tiempo de espera (que no ha sido especificado), los certificados de CNNIC pasarán a una lista negra y los sitios web que lo utilicen ya no podrán verse, al menos por defecto.

Los certificados no confiables fueron emitidos por MCS Holdings, una empresa con sede en Egipto que actuaba como una autoridad de certificados intermediaria que operaba bajo la autoridad de CNNIC. MCS Holdings ha emitido certificados con los cuales se pueden crear proxies man-in-the-middle, un tipo de ataque hacker que consiste en la interceptación de la conexión por parte de un tercero que se hace pasar por el servidor.

Google publicó un artículo en uno de sus blogs indicando del peligro de los certificados de CNNIC, y que esto no solo afectaba a su navegador, sino también a Firefox 33 y superiores. Mozilla ya ha movido ficha y ha dejado de confiar en los certificados problemáticos de MCS Holdings a partir del reciente Firefox 37, mientras que Microsoft ha anunciado que hará algo similar.

Mozilla intentará llegar a una solución intermedia con CNNIC, y en caso de no conseguirlo también pondrá todos los certificados de la autoridad china en una lista negra.

Fuente | ArsTechinica