El proyecto Firefox ha publicado en su lista de correos que el origen uno de sus certificados raices es desconocido. Cualquien página web firmada con este certificado habría sido considerada legítima por el navegador. Ni RSA ni VeriSign conocen el origen de ese certificado. El nombre del certificado: "RSA Security 1024 v3".( Traducción en los comentarios)
#1:
Estimados todos,
Propongo que el certificado raix "RSA Security 1024 V3", sea eliminado del NSS
OU = RSA Security 1024 V3
O = RSA Security Inc
Valid From: 2/22/01
Valid To: 2/22/26
SHA1 Fingerprint:
3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76
He sido incapaz de encontrar el dueño actual de este certificado raiz. RSA y Versign me han confirmado via e-mail que ellos no son dueños de este certificado raiz.
Por lo tanto, y hasta donde you conozco este certificado no posse dueño y por lo tanto nadie que lo audite, por lo que debe ser eliminado de NSS. He creado un bug para esto: https://bugzilla.mozilla.org/show_bug.cgi?id=549701
Estoy abriendo esta propuesta a una discusión publica. Por favor responde a esta discusión si tienes algun dato de este certificado y puedes ayudar a tomar una decisión.
Por cierto, para ver una lista completa de todos los certificados racies que se incluyen en el NSS, y quien los controla/posee, ves a http://www.mozilla.org/projects/security/certs/ y haz click en "Lista de todos los certificados raices incluidos". Esto te mostrará la versión publica de la hoja de datos que mantengo. Hay una columna llamanda "Web de la compañía" que indica quien es el dueño actual de cada certificado.
Kathleen
#5:
#2 es lo más probable. a mí una vez casi se me cae la cara de vergüenza cuando apareció un mensaje mío en un componente diciendo: "Esto es una puta mierda". Menos mal que eran angloparlantes no lo entendieron Desde entonces tomo severas precauciones y sólo pongo mensajes del tipo 'aaa' o 'this is just a test'.
#20:
#3 Si vas a comprar a un sitio nuevo siempre le preguntas a un amigo si ha comprado ahí antes, si se fia de ellos. Un certificado raiz es como tu amigo el que te dice que sí, que el sitio donde vas a comprar es de fiar.
Si algo sale mal siempre puedes volver a hablar con tu amigo y decirle que el sitio que te recomendó es una mierda, te han engañado o cualquier cosa. Según la noticia tu amigo se ha mudado de casa y no ha dejado ningún telefono ni ninguna dirección donde encontrarlo
#19:
#3 Cuando accedes a una pagina segura, esta te envía un certificado digital diciendo que pagina es por ejemplo la web de un banco te mandará un certificado de que esa pagina pertenece al Santandder, BBVA... y así tu puedes ver que no te están engañando para ver tus contraseñas. El problema está en como sabemos que el certificado realmente es correcto, para ello se le pregunta a una autoridad certificadora conocida cuyo certificado raíz está en nuestro ordenador y esa autoridad nos dirá si realmente el certificado que nos manda la entidad(al banco en el ejemplo) a la que queremos acceder es correcto, en caso de que la autoridad no verifique el certificado aparece en firefox la ventanita de que el certificado que nos manda no se puede comprobar y que si queremos acceder lo hacemos por nuestra cuneta y riesgo.
Una vez explicado para que sirve el certificado, vienen las consecuencias de que esté en el navegador.
Si una persona malintencionada instala en tu ordenador un certificado raíz de un sitio que el controle, puede hacer que el ordenador verifique como correcta una pagina que no lo es y por tanto no te avise de que puedes estar ante un intento de estafa.
Espero me halla explicado bien, cualquier duda preguntala
Estimados todos,
Propongo que el certificado raix "RSA Security 1024 V3", sea eliminado del NSS
OU = RSA Security 1024 V3
O = RSA Security Inc
Valid From: 2/22/01
Valid To: 2/22/26
SHA1 Fingerprint:
3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76
He sido incapaz de encontrar el dueño actual de este certificado raiz. RSA y Versign me han confirmado via e-mail que ellos no son dueños de este certificado raiz.
Por lo tanto, y hasta donde you conozco este certificado no posse dueño y por lo tanto nadie que lo audite, por lo que debe ser eliminado de NSS. He creado un bug para esto: https://bugzilla.mozilla.org/show_bug.cgi?id=549701
Estoy abriendo esta propuesta a una discusión publica. Por favor responde a esta discusión si tienes algun dato de este certificado y puedes ayudar a tomar una decisión.
Por cierto, para ver una lista completa de todos los certificados racies que se incluyen en el NSS, y quien los controla/posee, ves a http://www.mozilla.org/projects/security/certs/ y haz click en "Lista de todos los certificados raices incluidos". Esto te mostrará la versión publica de la hoja de datos que mantengo. Hay una columna llamanda "Web de la compañía" que indica quien es el dueño actual de cada certificado.
Kathleen
Como dice Mozilla (ver #4) sí se sabe a quién pertenece el certificado raíz.
Es de RSA, y está inactivo y en desuso por lo que la eliminación, como es lógico, sucederá.
#10 Tienes razón en parte. Si la noticia fuera como se cuenta en la entradilla, es decir, que Firefox incluye un certificado raíz del que nadie sabe su origen, sería un fallo de seguridad gravísimo. Y merecería una portada. O varias.
Afortunadamente no ha sido así. Como bien se explica en #4 y repite #7, el certificado tiene un origen conocido, aunque está en desuso. Por eso la noticia es errónea.
La confusión se debe, como se explica en el enlace de #4, a que el mensaje original que enlaza #0 afirma que ha sido imposible "encontrar el dueño actual" del certificado, lo que se ha interpretado como que no se conoce su origen. Y sí se conoce.
#2 es lo más probable. a mí una vez casi se me cae la cara de vergüenza cuando apareció un mensaje mío en un componente diciendo: "Esto es una puta mierda". Menos mal que eran angloparlantes no lo entendieron Desde entonces tomo severas precauciones y sólo pongo mensajes del tipo 'aaa' o 'this is just a test'.
#9 Si me cuentas como "debugar" xajax yo encantado de dejar de poner mensajes alocados y absurdos, que tengo a los usuarios con unos caras de susto que...
PD: Offtopic: hoy he comprobado que cuando pones un Alert (en HTML digo) si es algo realmente grave hay que hacerlo enorme. He visto claramente como un usuario pulsaba un botón y pasaba completamente del mensaje de error.
Luego se me quejan cuando por un fallo grave saco 5 (CINCO) alerts de varias líneas, todos en mayúsculas y con amenazas... ¡PANDA LUSERS!
#3 Cuando accedes a una pagina segura, esta te envía un certificado digital diciendo que pagina es por ejemplo la web de un banco te mandará un certificado de que esa pagina pertenece al Santandder, BBVA... y así tu puedes ver que no te están engañando para ver tus contraseñas. El problema está en como sabemos que el certificado realmente es correcto, para ello se le pregunta a una autoridad certificadora conocida cuyo certificado raíz está en nuestro ordenador y esa autoridad nos dirá si realmente el certificado que nos manda la entidad(al banco en el ejemplo) a la que queremos acceder es correcto, en caso de que la autoridad no verifique el certificado aparece en firefox la ventanita de que el certificado que nos manda no se puede comprobar y que si queremos acceder lo hacemos por nuestra cuneta y riesgo.
Una vez explicado para que sirve el certificado, vienen las consecuencias de que esté en el navegador.
Si una persona malintencionada instala en tu ordenador un certificado raíz de un sitio que el controle, puede hacer que el ordenador verifique como correcta una pagina que no lo es y por tanto no te avise de que puedes estar ante un intento de estafa.
Espero me halla explicado bien, cualquier duda preguntala
#3 Si vas a comprar a un sitio nuevo siempre le preguntas a un amigo si ha comprado ahí antes, si se fia de ellos. Un certificado raiz es como tu amigo el que te dice que sí, que el sitio donde vas a comprar es de fiar.
Si algo sale mal siempre puedes volver a hablar con tu amigo y decirle que el sitio que te recomendó es una mierda, te han engañado o cualquier cosa. Según la noticia tu amigo se ha mudado de casa y no ha dejado ningún telefono ni ninguna dirección donde encontrarlo
#20 te dice que sí, que el sitio donde vas a comprar es de fiar.
Ni muchísimo menos. La autoridad certificadora se limita a recoger evidencias de que el presentador de certificados para que se los firme, es quién dice ser.
En absoluto garantiza nada sobre su comportamiento.
#34 Exacto. Yo lo comparo con los notarios, el sitio que visitas es efectivamente el que dice ser, pero si estas en https://www.robotarjetasdecredito.com, sospecha
#3 Un certificado raíz es lo que tu (tu navegador normalmente) utilizas para comprobar que las claves públicas utilizadas en tus operaciones con certificados han sido emitidas por una entidad en la que confías.
El "fallo" que comentan en esa lista es precisamente en que en la lista de entidades en las que nuestro navegador confía por defecto ,aquellas cuyo certificado raíz ya tiene incluído, (puedes ver la lista en propiedades/herramientas-> contenido-> certificados, o algún menú similar que tenga tu navegador), existe una entidad que nadie conocía. Esto puede llegar a ser un problema de seguridad importantísimo, puesto que si alguien sin control tuviera la parte privada de ese certificado podría emitir certificados con cualquier propósito, para si mismo o para otras personas. Por ejemplo:
- Entidad certificadora sin control emite certificado para www.ebay.com para atacante
- Atacante inyecta en tu DNS su dirección www.ebay.com falsa, de forma que tu vas a su web en vez de a la original
- Tu visitas la web, y no solo el phishing (pharming en este caso, por lo de dns y tal..) es bastante currado, porque tu has tecleado bien la dirección y vas a la web falsa, sino que (y aquí lo importante) cuando intentes realizar una transacción segura, con ssl, el navegador reconocerá ese certificado como válido, es decir, te saldrá el candadito de seguridad, y todos contentos. Y ¿por qué? porque tu navegador confía en esa entidad emisora.
Ahora imagínate eso en cualquier sitio donde se use SSL, que es en prácticamente todo lo que requiera seguridad en internet.
De todas formas este no es el caso, siguiendo un poco los mensajes, RSA ha dicho que lo han creado ellos, que tienen el cert privado y que lo eliminen. Fin de la historia
#3 En pocas palabras es un certificado de autenticidad de la identidad del que está detras de una página web. Sirve para comprobar que la web con la que estas conectando de forma segura (https://... , el candadito, comunicación cifrada) es quién dice ser, para ello una autoridad certificadora reconocida por el fabricante del navegador lo certifica. La cosa es que uno de los certificados que está usando firefox no proviene de esas autoridades. Es grave, pero ¿cuanto?, dependerá de desde cuando pase esto, y si ha sido o no explotado, y para que fines.
Por lo que he leído, el problema radicaba en que ya no se utiliza, pero se ve que SÍ poseen la private key del certificado. Simplemente a pasado a su desuso
Comentarios
Estimados todos,
Propongo que el certificado raix "RSA Security 1024 V3", sea eliminado del NSS
OU = RSA Security 1024 V3
O = RSA Security Inc
Valid From: 2/22/01
Valid To: 2/22/26
SHA1 Fingerprint:
3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76
He sido incapaz de encontrar el dueño actual de este certificado raiz. RSA y Versign me han confirmado via e-mail que ellos no son dueños de este certificado raiz.
Por lo tanto, y hasta donde you conozco este certificado no posse dueño y por lo tanto nadie que lo audite, por lo que debe ser eliminado de NSS. He creado un bug para esto:
https://bugzilla.mozilla.org/show_bug.cgi?id=549701
Estoy abriendo esta propuesta a una discusión publica. Por favor responde a esta discusión si tienes algun dato de este certificado y puedes ayudar a tomar una decisión.
Por cierto, para ver una lista completa de todos los certificados racies que se incluyen en el NSS, y quien los controla/posee, ves a http://www.mozilla.org/projects/security/certs/ y haz click en "Lista de todos los certificados raices incluidos". Esto te mostrará la versión publica de la hoja de datos que mantengo. Hay una columna llamanda "Web de la compañía" que indica quien es el dueño actual de cada certificado.
Kathleen
Mozilla ya se ha posicionado al respecto: http://blog.mozilla.com/security/2010/04/06/removing-the-rsa-security-1024-v3-root/
Como dice Mozilla (ver #4) sí se sabe a quién pertenece el certificado raíz.
Es de RSA, y está inactivo y en desuso por lo que la eliminación, como es lógico, sucederá.
#10 Tienes razón en parte. Si la noticia fuera como se cuenta en la entradilla, es decir, que Firefox incluye un certificado raíz del que nadie sabe su origen, sería un fallo de seguridad gravísimo. Y merecería una portada. O varias.
Afortunadamente no ha sido así. Como bien se explica en #4 y repite #7, el certificado tiene un origen conocido, aunque está en desuso. Por eso la noticia es errónea.
La confusión se debe, como se explica en el enlace de #4, a que el mensaje original que enlaza #0 afirma que ha sido imposible "encontrar el dueño actual" del certificado, lo que se ha interpretado como que no se conoce su origen. Y sí se conoce.
#7 RSA es el algoritmo.
Yo utilizo una llave RSA para conectarme por SSH
(http://es.wikipedia.org/wiki/RSA)
#26 http://en.wikipedia.org/wiki/RSA_Security
OU = RSA Security 1024 V3
O = RSA Security Inc
Aparte un algoritmo no podría contestar a correos reclamando la autoridad de un certificado (pero tienen el mismo nombre si)
Voto amarillista porque como se dice en el enlace de #4 pertenece a RSA y está en desuso y por eso lo van a eliminar.
Estos programadores y sus pruebas... siempre se van dejando cosas por ahí.
#2 es lo más probable. a mí una vez casi se me cae la cara de vergüenza cuando apareció un mensaje mío en un componente diciendo: "Esto es una puta mierda". Menos mal que eran angloparlantes no lo entendieron Desde entonces tomo severas precauciones y sólo pongo mensajes del tipo 'aaa' o 'this is just a test'.
#5 Que mala suerte, a mi también me paso pero mostraba el nombre de una variable nada mas
#5 y #6 Si debugarais como dios manda en lugar de andar metiendo msgbox por los sitios...
Cuanta razón tienes #9... la solución (no única) Unit Testing
#9 Si debugarais
#9 Si me cuentas como "debugar" xajax yo encantado de dejar de poner mensajes alocados y absurdos, que tengo a los usuarios con unos caras de susto que...
PD: Offtopic: hoy he comprobado que cuando pones un Alert (en HTML digo) si es algo realmente grave hay que hacerlo enorme. He visto claramente como un usuario pulsaba un botón y pasaba completamente del mensaje de error.
Luego se me quejan cuando por un fallo grave saco 5 (CINCO) alerts de varias líneas, todos en mayúsculas y con amenazas... ¡PANDA LUSERS!
#5 #6 a mi me pasó con tres mensajes que decían "JAR" "JUR" y "JINDER".
Era plena época de apogeo de Chiquito de la Calzada.
#5 A mi esta misma mañana comprando entradas en la web de El Corte Inglés me ha aparecido un mensaje "llega" de alguno que se ha olvidado quitarlo...
#5 Yo, en una web sobre prensas hidráulicas, haciendo pruebas dejé una foto de Aria Giovanni...
#18 ¿pero a qué llamas tu "hacer pruebas"?
Creo que ha sido excesivo que esto llegue a portada...
#21, ya le voto yo positivo por ti. Y otro pa ti pa que te repongas del mancillamiento... De nada
#10, es lógico que llegue a portada. Con el enconamiento que hay GNU/Linux Vs. Windows privativo... Y además, así de primeras, acojona un poquito...
¿Alguien puede explicarle a un profano como yo que es un certificado raíz y porque es esto importante? Gracias.
#3 El certificado por donde se alimetan las plantas, o algo deso era....
#3 Te recomiendo leer esto:
http://es.wikipedia.org/wiki/Autoridad_de_certificaci%C3%B3n
#3 Cuando accedes a una pagina segura, esta te envía un certificado digital diciendo que pagina es por ejemplo la web de un banco te mandará un certificado de que esa pagina pertenece al Santandder, BBVA... y así tu puedes ver que no te están engañando para ver tus contraseñas. El problema está en como sabemos que el certificado realmente es correcto, para ello se le pregunta a una autoridad certificadora conocida cuyo certificado raíz está en nuestro ordenador y esa autoridad nos dirá si realmente el certificado que nos manda la entidad(al banco en el ejemplo) a la que queremos acceder es correcto, en caso de que la autoridad no verifique el certificado aparece en firefox la ventanita de que el certificado que nos manda no se puede comprobar y que si queremos acceder lo hacemos por nuestra cuneta y riesgo.
Una vez explicado para que sirve el certificado, vienen las consecuencias de que esté en el navegador.
Si una persona malintencionada instala en tu ordenador un certificado raíz de un sitio que el controle, puede hacer que el ordenador verifique como correcta una pagina que no lo es y por tanto no te avise de que puedes estar ante un intento de estafa.
Espero me halla explicado bien, cualquier duda preguntala
#3 Si vas a comprar a un sitio nuevo siempre le preguntas a un amigo si ha comprado ahí antes, si se fia de ellos. Un certificado raiz es como tu amigo el que te dice que sí, que el sitio donde vas a comprar es de fiar.
Si algo sale mal siempre puedes volver a hablar con tu amigo y decirle que el sitio que te recomendó es una mierda, te han engañado o cualquier cosa. Según la noticia tu amigo se ha mudado de casa y no ha dejado ningún telefono ni ninguna dirección donde encontrarlo
#20 es un crack al que no puedo votar positivo por un mancillamiento de karma hace mas de un mes.
#20 te dice que sí, que el sitio donde vas a comprar es de fiar.
Ni muchísimo menos. La autoridad certificadora se limita a recoger evidencias de que el presentador de certificados para que se los firme, es quién dice ser.
En absoluto garantiza nada sobre su comportamiento.
#34 Exacto. Yo lo comparo con los notarios, el sitio que visitas es efectivamente el que dice ser, pero si estas en https://www.robotarjetasdecredito.com, sospecha
#3 Un certificado raíz es lo que tu (tu navegador normalmente) utilizas para comprobar que las claves públicas utilizadas en tus operaciones con certificados han sido emitidas por una entidad en la que confías.
El "fallo" que comentan en esa lista es precisamente en que en la lista de entidades en las que nuestro navegador confía por defecto ,aquellas cuyo certificado raíz ya tiene incluído, (puedes ver la lista en propiedades/herramientas-> contenido-> certificados, o algún menú similar que tenga tu navegador), existe una entidad que nadie conocía. Esto puede llegar a ser un problema de seguridad importantísimo, puesto que si alguien sin control tuviera la parte privada de ese certificado podría emitir certificados con cualquier propósito, para si mismo o para otras personas. Por ejemplo:
- Entidad certificadora sin control emite certificado para www.ebay.com para atacante
- Atacante inyecta en tu DNS su dirección www.ebay.com falsa, de forma que tu vas a su web en vez de a la original
- Tu visitas la web, y no solo el phishing (pharming en este caso, por lo de dns y tal..) es bastante currado, porque tu has tecleado bien la dirección y vas a la web falsa, sino que (y aquí lo importante) cuando intentes realizar una transacción segura, con ssl, el navegador reconocerá ese certificado como válido, es decir, te saldrá el candadito de seguridad, y todos contentos. Y ¿por qué? porque tu navegador confía en esa entidad emisora.
Ahora imagínate eso en cualquier sitio donde se use SSL, que es en prácticamente todo lo que requiera seguridad en internet.
De todas formas este no es el caso, siguiendo un poco los mensajes, RSA ha dicho que lo han creado ellos, que tienen el cert privado y que lo eliminen. Fin de la historia
PD: Lo de las claves bien explicado en :
http://es.wikipedia.org/wiki/Infraestructura_de_clave_p%C3%BAblica
+
http://es.wikipedia.org/wiki/Cifrado_asimetrico
#3 En pocas palabras es un certificado de autenticidad de la identidad del que está detras de una página web. Sirve para comprobar que la web con la que estas conectando de forma segura (https://... , el candadito, comunicación cifrada) es quién dice ser, para ello una autoridad certificadora reconocida por el fabricante del navegador lo certifica. La cosa es que uno de los certificados que está usando firefox no proviene de esas autoridades. Es grave, pero ¿cuanto?, dependerá de desde cuando pase esto, y si ha sido o no explotado, y para que fines.
Pues ala, borrado está... Si yo soy de los que si les dicen que se tiren de un puente se tiran
¿La CIA?
con Opera o Chrome estas cosas no pasan
#13 Si no fuera por Firefox igual Opera y Chrome no eran tan accesibles.
Por lo que parece en el tracker de bugzilla, RSA ha reconocido que es suyo.
https://bugzilla.mozilla.org/show_bug.cgi?id=549701#c4
Por lo que he leído, el problema radicaba en que ya no se utiliza, pero se ve que SÍ poseen la private key del certificado. Simplemente a pasado a su desuso
Es de Chuck Norris.