msgbartop
Todo acerca de Google Chrome & Google Chrome OS
msgbarbottom

21 Febrero 12 Symantec critica a Google por el certificado de seguridad comprueba extracción de cromo


Excluyendo OCSP (Certificado en línea Protocolo de Estado) y CRL (La lista de revocación de certificados) cheques de Google Chrome podría tener consecuencias peligrosas, ya que se convertirá Google en un punto único de fallo, de acuerdo con el proveedor de seguridad de Symantec.

Cuando se accede a un sitio web a través de HTTPS, navegadores comprobar si su certificado SSL ha sido revocado por la autoridad de emisión de certificados. Esto se realiza mediante la consulta OCSP de la CA de respuesta o por la comprobación de su lista publicada de revocación de certificados.

Por razones de facilidad de uso, todos los principales navegadores actualmente ignorar las peticiones OCSP y CRL que dan lugar a errores de red por defecto, en lo que se conoce como un mecanismo de fallo suave. Sin embargo, algunos de ellos ofrecen a los usuarios la opción de habilitar duro falle, que provoca los errores para cada solicitud que sigue sin respuesta.

Adam Langley, la seguridad ingeniero de Google, ha anunciado que Chrome dejará de realizar comprobaciones de OCSP y CRL en futuras versiones. En lugar, estos controles deben ser reemplazados por una lista en caché local de certificados revocados que será mantenida hasta la fecha por Google.

Las razones detrás de la decisión están relacionados con problemas de rendimiento y seguridad. Peticiones OCSP y CRL aumentar los tiempos de carga de página y son susceptibles de bloqueo por el hombre-en-el-medio atacantes o portales cautivos, sitios de uso común por Wi-Fi puntos de acceso para evitar que las conexiones HTTP para que los usuarios autenticarse.

“Este es un caso extremo que ocurre con muy poca frecuencia. Nosotros sostenemos que no hay que descartar OCSP y CRL, ya que no trabajan en una pequeña fracción de los casos,” dijo Fran Rosch, vicepresidente de Servicios de confianza y SSL de Symantec. “Su propuesta de que el navegador mantiene una lista de certificados revocados se convierte Google en un punto único de fallo, Langley está de acuerdo en que el mismo es mala práctica de la ingeniería.”

Según Rosch, el mecanismo de falla suave actualmente utilizado por los navegadores es el verdadero problema, ya que permite sesiones HTTPS para continuar sin establecer si el certificado SSL es válido o no. Symantec ha mantenido un tiempo de actividad de 100 por ciento para su OCSP y servicios de CRL en los últimos diez años, así CA-nivel el tiempo de inactividad no debe ser una preocupación, dijo.

“OCSP claramente no funciona hoy, porque todos los principales navegadores que operan en modo de fallo suave. Que necesita ser arreglado,” , dijo Iván Ristic, director de ingeniería de la firma de seguridad Qualys. “Mi opinión es que Google debería haber primero hecho un esfuerzo para solucionar el problema,” dijo.

Qualys planea comenzar un proyecto llamado “Mundial de vigilancia de respuesta de OCSP” que se hará un seguimiento de la disponibilidad de todos los respondedores OCSP e identificar las entidades emisoras de certificados, con los poco fiables. “Que esperamos que todos puedan cambiar a no dura por defecto,” Ristic, dijo.

De acuerdo con Ristic, los problemas de rendimiento se podría resolver con la ayuda de una técnica conocida como grapado de OCSP, que implica el titular de un certificado SSL de servidor OCSP consulta de la CA periódicamente y almacenamiento en caché una respuesta firmada. Esta respuesta luego se sirvió a los clientes directamente sin necesidad de que abrir una conexión a un host independiente.

“Incluso sin grapado de OCSP, navegadores puede comenzar a visualizar un sitio web y realizar la comprobación en el fondo, por lo que no va a ser un impacto en el rendimiento inmediato,” Ristic, dijo. “Ellos duro puede fallar después de un segundo o dos, posiblemente, la prevención de las interacciones posteriores con el sitio.”

Supresión de los controles de OCSP de Google Chrome podría incluso tener implicaciones legales para los usuarios, que no será capaz de reclamar garantías por daños y perjuicios derivados de la utilización de los certificados de malas si el software que se basan en no hacer un esfuerzo para comprobar el estado de revocación de certificados, , dijo Eddy Nigg, fundador y director de tecnología de certificado de autoridad StartCom, por correo electrónico.

“En sentido estricto, Google como un usuario de confianza y proveedor de software podría no ser capaz de hacer uso de los certificados de CA raíz de su navegador utiliza actualmente, debido a la falta de cumplimiento a las obligaciones de las partes que dependen de,” Nigg dijo.

Nigg de acuerdo en que el problema es el mecanismo a prueba suave implementado en los navegadores, que calificó como un fracaso en sí mismo. “Es más bien los navegadores que tengan implementaciones bastante débiles a su lado y no se esfuerzan lo suficiente (y lo suficientemente inteligente) con el fin de obtener una respuesta de estado,” dijo.

El artículo fuente de: http://rss.feedsportal.com/c/270/f/470440/s/1cc94381/l/0Lnews0Btechworld0N0Capplications0C33386850Csymantec0Ecriticises0Egoogle0Efor0Estripping0Esecurity0Ecertificate0Echecks0Efrom0Echrome0C0Dolo0Frss/story01.htm

Etiquetas: , , ,

Los comentarios están cerrados.