Ya hace varios meses que desde el gigante de Internet buscaban una forma de hacer transparente la creación de certificados SSL, con la intención de no tener “secretos” de cara a los usuarios y empresas a la hora de crear estos. Sin embargo un error humano ha dejado al descubierto más información de la cuenta y ha obligado a Google a revocar varios certificados.
Sin embargo, ya pesar de que Google no se ha enterado por si misma, sino que ha sido por parte del departamento de defensa francés. Es desde aquí donde han podido comprobar que algunos certificados que se encontraban en algunas subdominios de administraciones eran vulnerables y la información que protegían podía ser descifrada con mucha facilidad.
Aunque no ha trascendido el nombre de la empresa responsable de realizar la firma de los certificados, desde Google han querido aclarar que ni ellos ni la ANSSI han tenido nada que ver, aunque en el caso de esta última esté relacionada no de forma directa. Parece ser que esta sí que aporta las firmas y las revisiones de los certificados de esta empresa intermediaria.
O lo que es lo mismo, Google había prestado una serie de certificados a una determinada compañía de seguridad para que los firmara. Sin embargo, a pesar de que estos fueron firmados, esto se hizo de forma ilegal e incumpliendo ciertas normas de seguridad, exponiendo toda la información que va sobre estos certificados.
Los certificados han sido ya revocados de Google Chrome
Aunque han tardado en ser informados del problema de seguridad varios días, los responsables de seguridad del gigante de Internet tomaron la decisión de revocar todos los certificados que se encontraban afectados de los que han calificado un fallo humano grave.
En forma de actualización ha la revocación de estos certificados afectados por el problema de seguridad.
Usos que se les daba a estos certificados
Además de algunos subdominios pertenecientes a administraciones francesas, desde Google han aclarado que estos certificados eran utilizados en redes comerciales y domésticas, aunque en este último caso en menor medida, dedicados principalmente a uso comercial en medianas y grandes empresas.
Fuente | ThreatPost
http://www.redeszone.net/2013/12/10/google-se-ve-obligado-revocar-algunos-certificados-en-francia/