Interesante post de Security By Default donde se describe cómo es posible aprovechar una debilidad en el protocolo de autenticación de algunas Autoridades Certificadoras (CA) para obtener un certificado SSL totalmente legítimo de conocidos dominios nacionales ... con sólo una cuenta de webmail.
¿Vulnerabilidad en el protocolo de algunas CAs? Más bien diría yo que el problema lo tiene Vodafone. Si te permite crearte una cuenta de correo bajo su dominio con el alias que te dé la gana, es un problema de seguridad.
Interesante post.
La CA se tiene que preocupar de identificarte por varios canales, y hacerlo sólo por correo de ese modo sin exigirte siquiera ningún tipo de documentación legal de empresa, ni llamarte a un teléfono que conste como público y fiable de la misma, etc... lo veo una imprudencia por su parte que puede acabar en pérdida de fiabilidad. No se si de la CA o de los certificados convencionales (que sería algo bastante peor por la magnitud de la tragedia). Igualmente, ¿acaso la cuenta ssladmin@dominio.tld es un estandar?
Comentarios
¿Vulnerabilidad en el protocolo de algunas CAs? Más bien diría yo que el problema lo tiene Vodafone. Si te permite crearte una cuenta de correo bajo su dominio con el alias que te dé la gana, es un problema de seguridad.
Interesante post.
#1 Yo voto más bien por lo primero.
La CA se tiene que preocupar de identificarte por varios canales, y hacerlo sólo por correo de ese modo sin exigirte siquiera ningún tipo de documentación legal de empresa, ni llamarte a un teléfono que conste como público y fiable de la misma, etc... lo veo una imprudencia por su parte que puede acabar en pérdida de fiabilidad. No se si de la CA o de los certificados convencionales (que sería algo bastante peor por la magnitud de la tragedia). Igualmente, ¿acaso la cuenta ssladmin@dominio.tld es un estandar?