Una filtración masiva ha puesto de manifiesto el riesgo sobre los certificados HTTPS. No por la protección que garantizan a los usuarios, por el cifrado de las comunicaciones entre servidor y cliente, sino por el tratamiento que se hace sobre las claves TLS. Este importante problema ha tenido lugar por el envío a través de correo electrónico de las claves correspondientes a 23.000 certificados HTTPS. Evidentemente, esto es algo que no debería hacerse en ningún caso.

Un certificado HTTPS sirve, básicamente, para que cualquier dato intercambiado entre un servidor y cliente –por ejemplo, una web y su visitante- sea cifrado de extremo a extremo. En esta ecuación, uno de los puntos críticos es la clave privada. Esto es precisamente lo que ha enviado por mail el vicepresidente ejecutivo de DigiCert, una autoridad certificadora que ha tomado el legado de Symantec después que esta compañía haya sido penalizada por Google, a través del navegador web Google Chrome. Pero no envió una –que tampoco debería hacerlo-, sino que envío adjuntas en un mail 23.000 claves privadas.

LEER MAS: https://www.adslzone.net/2018/03/01/https-filtracion-certificados-claves/