¿Qué es y cómo funciona el nuevo registro DNS CAA?

En Enero de 2013, Rob Stradling propuso y formalizó la implementación de un estándar para la Autorización de Entidades de Certificación (Certification Authority Authorization, por sus siglas en inglés) mediante el RFC 6844. El propósito de los registros CAA es “designar” una o más entidades de certificación a emitir certificados SSL/TLS a un dominio o subdominio específicos. Los dueños de dominios podrán, además, declarar una dirección de correo electrónico para recibir notificaciones en caso que alguien solicite un certificado a una entidad de certificación no autorizada. De no existir un registro CAA, cualquier entidad está autorizada a emitir certificados para ese dominio o subdominio. Si bien … Seguir leyendo…

OpenSSL recibe una importante actualización de seguridad

Los responsables del proyecto OpenSSL, paquete de herramientas de administración y bibliotecas que suministran funciones criptográficas a otros paquetes como OpenSSH, y pieza fundamental de las implementaciones de protocolos de transferencia seguro (como SSL o TLS), han publicado hace pocas horas una serie de actualizaciones de seguridad, incluyendo algunas de caracter crítico. Las versiones 1.0.1, 1.0.0 y 0.9.8 de OpenSSL deben ser actualizadas inmediatamente a 1.0.1k, 1.0.0p y 0.9.8zd respectivamente. Por su parte, la versión 1.0.2 debe ser actualizada a la 1.0.2a. Entre las actualizaciones se soluciona una vulnerabilidad que podría permitir que atacantes intercepten comunicaciones seguras (“man-in-the-middle attack”) y otra que podría permitir ataques de denegación de servicio (DDos). Se recomienda a todos … Seguir leyendo…

Todo lo que necesitas saber acerca de POODLE

Hace algunos días fue confirmada una vulnerabilidad de la que se habían oído rumores tiempo atrás. Se trata de POODLE (Padding Oracle On Downgraded Legacy Encryption, por sus siglas en inglés), un fallo en el protocolo SSL 3.0 que podría permitir ataques del tipo MitM (Man in the Middle) en los que un atacante podría leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha.

El fallo, registrado bajo el identificador CVE-2014-3566, fue descubierto por Bodo Möller, Thai Duong and Krzysztof Kotowicz del equipo de Seguridad de Google y publicado en el blog de la compañía.

Si bien la vulnerabilidad no es tan seria como sí lo fueron Heartbleed o Shellshock, debe ser tenida en cuenta y mitigada por los administradores de sistemas. SSL 3.0 ya cumplió 18 años, pero aún es utilizado por los navegadores para “escapar” de algunos errores que impedirían el correcto uso de protocolos más recientes. De esta manera, un atacante podría forzar el uso de SSL 3.0 para explotar sus deficiencias.

Usuarios hogareños

Para el caso de los usuarios hogareños u organizaciones que quieran proteger a sus usuarios de esta vulnerabilidad y evitar que un atacante intercepte la información intercambiada con un servidor que aún no ha mitigado el fallo, alcanza con deshabilitar el protocolo SSL 3.0 en los navegadores de internet.

Seguir leyendo…

Llegó la hora de reemplazar los certificados SSL con cifrado SHA-1

Han pasado casi 20 años (19 para ser precisos) desde que se publicara la versión 1 de SHA, el algoritmo de cifrado más utilizado en el mundo y con el que operan la gran parte de los certificados SSL de la web.

SHA-1 es un método de cifrado desarrollado por la Agencia Nacional de Seguridad de los Estados Unidos (NSA, por sus siglas en inglés) y es considerado un estándar federal en el procesamiento de la información para el gobierno de aquel país. El método de salida de SHA-1 produce un valor de hash seguro de 160 bits (20 bytes), equivalente a un número hexadecimal de 40 dígitos de longitud.

En el año 2005 fueron publicadas dos investigaciones en las que se demostraron grandes debilidades en este mecanismo. Sucede que los hashes tienen un enemigo natural llamado “colisiones”. Las colisiones son la posibilidad de encontrar mediante ataques de fuerza bruta un identificador que no sea único, es decir, que un mismo SHA-1 represente a dos flujos de datos entrantes diferentes.

Por definición podríamos decir que existe 1 posibilidad en 1208925819614629174706176 (280) de generar colisiones en SHA-1. Sin embargo, a principios de 2005 un grupo de investigadores chinos redujo la cantidad de intentos a 269. Tiempo más tarde se avanzó hasta 263 y, finalmente, en la Universidad de Macquarie (Australia) lograron reducirlo hasta 252 (cerca de 2000 veces más rápido de lo esperado).

Como consecuencia de esto, el CA/Browser Forum recomendó en el año 2011 comenzar a abandonar SHA-1 tan pronto como sea posible. De hecho, el gobierno de los Estados Unidos dejó de utilizar este mecanismo en el 2010.

Acerca de SHA-2

Seguir leyendo…

Google to rank up HTTPS sites in search results

Versión en español disponible aquí / Spanish version available here

Gary Illyes and Zineb Ait Bahajji, from the Google’s Webmaster Trends Analysis team, published yesterday a post in the company’s security blog announcing that sites that are protected with SSL certificates will be ranked up in search results.

“Security is a top priority for Google”, ensures the announcement in which the company based in California gave more details about this change. With the aim of improve users experience and security, Google has started to test this new ranking model some weeks ago.

TLS, or Transport Layer Security, is a cryptographic protocol designed to provide communication security over the Internet. Also known as “HTTPS” or “secure HTTP”, TLS and its predecessor (SSL) were designed to allow users to exchange data with web-sites safely.

Tests suggest that, so far, only 1% of global queries were affected. Google plans to start rolling this feature accross the web in the next weeks, in order to allow webmasters to switch to HTTPS.

In the coming weeks, the Google team will publish detailed best practices to make TLS adoption easier, and to avoid common mistakes. Here are some basic tips to get started:

Seguir leyendo…