Con las cifras de este mes en la mano, podemos confirmar que el 51% de las webs teóricamente seguras no lo son ya que aún no han actualizado su certificado SSL, y siguen usando SHA-1 en lugar del mucho más robusto SHA-256.
#4:
¿La razón? Ya se ha demostrado que este algoritmo es vulnerable a ataques de fuerza bruta y por lo tanto es posible crear certificados cuyas huellas coincidan con las de las autoridades certificadores sin ser suyas.
Creo que aquí está mezclando churras con merinas y eso es una causalidad falsa.
Los ataques de fuerza bruta sirven para descubrir un texto que está hasheado a base de probar todas las combinaciones posibles. Se utiliza para por ejemplo recuperar la contraseña en texto claro de una base de datos con hashes de passwords, que pueden estar en SHA1, a base de ir probando contraseñas posibles y comparando los hashes a ver si coinciden.
Pero ése no es el tipo de ataque utilizado para suplantar certificados, para eso se utilizan ataques de colisiones de hashes. Generalmente consisten en ir modificando dos textos hasta hacer que los dos produzcan un hash idéntico. Uno de los textos puede ser un certificado para un dominio concreto y el otro para un certificado CA. Entonces, si consigues que alguien te firme el certificado del dominio, sin darse cuenta, también te está firmando el certificado CA y te está dando la posibilidad de crear certificados válidos para cualquier dominio.
Este ataque, hasta donde yo sé, solo se ha conseguido a nivel práctico con MD5, pero aún no con SHA1.
Pero además, esto no hace que las huellas coincidan con las de las autoridades certificadores sin ser suyas. Esos ataques te convierten, por decirlo de alguna manera, en una CA. Al menos hasta que te descubran. Con eso generas tus propios certificados con tus propias firmas, pero el navegador los da por válidos porque ve que tu CA tiene una firma válida de otro CA superior.
Encontrar una colisión para un texto concreto (un certificado de un dominio concreto) no es un ataque tan viable hoy en día. Corregidme si me equivoco, pero lo que se suele hacer es encontrar una colisión con dos textos que tú puedes controlar, ya que es más sencillo.
En general me da la sensación de que el texto es algo incorrecto técnicamente hablando.
#3:
#1 Los certificados SHA-1 ya no son válidos, por su inseguridad. Y sobre el SSL, el único SSL realmente seguro, y eso de "realmente" es un poco de aquella manera, es el SSL estricto (sólo se consideran válidos los certificados que provengan de una entidad certificadora autentificada y se prohibe el autorfirmado. Básicamente porque es algo que se usa mucho para ataques Man In The Middle o Ataques de Hombre en el Medio).
Salu2
#18:
#3 SSL es inseguro des de hace tiempo. Ahora mismo únicamente es seguro TLS 1.2, y dependiendo del cifrado que se use por debajo. Una entidad certificadora autentificada no significa nada, lo que hace válido un certificado en nuestro navegador, es la confianza que le hayamos dado a dicha entidad (o que le haya dado el navegador que estemos usando), por ello se llaman autoridades de certificación de confianza.
Esta confianza se basa en confiar en que la clave secreta usada por la autoridad de certificación raíz es secreta, y únicamente es conocida por ellos. También en confiar que únicamente van a emitir certificados asegurándose de que los que piden el certificado son los administradores del dominio que va a usar el certificado.
No te van a dar un certificado para google.com por ejemplo.
¿La razón? Ya se ha demostrado que este algoritmo es vulnerable a ataques de fuerza bruta y por lo tanto es posible crear certificados cuyas huellas coincidan con las de las autoridades certificadores sin ser suyas.
Creo que aquí está mezclando churras con merinas y eso es una causalidad falsa.
Los ataques de fuerza bruta sirven para descubrir un texto que está hasheado a base de probar todas las combinaciones posibles. Se utiliza para por ejemplo recuperar la contraseña en texto claro de una base de datos con hashes de passwords, que pueden estar en SHA1, a base de ir probando contraseñas posibles y comparando los hashes a ver si coinciden.
Pero ése no es el tipo de ataque utilizado para suplantar certificados, para eso se utilizan ataques de colisiones de hashes. Generalmente consisten en ir modificando dos textos hasta hacer que los dos produzcan un hash idéntico. Uno de los textos puede ser un certificado para un dominio concreto y el otro para un certificado CA. Entonces, si consigues que alguien te firme el certificado del dominio, sin darse cuenta, también te está firmando el certificado CA y te está dando la posibilidad de crear certificados válidos para cualquier dominio.
Este ataque, hasta donde yo sé, solo se ha conseguido a nivel práctico con MD5, pero aún no con SHA1.
Pero además, esto no hace que las huellas coincidan con las de las autoridades certificadores sin ser suyas. Esos ataques te convierten, por decirlo de alguna manera, en una CA. Al menos hasta que te descubran. Con eso generas tus propios certificados con tus propias firmas, pero el navegador los da por válidos porque ve que tu CA tiene una firma válida de otro CA superior.
Encontrar una colisión para un texto concreto (un certificado de un dominio concreto) no es un ataque tan viable hoy en día. Corregidme si me equivoco, pero lo que se suele hacer es encontrar una colisión con dos textos que tú puedes controlar, ya que es más sencillo.
En general me da la sensación de que el texto es algo incorrecto técnicamente hablando.
#4 "En general me da la sensación de que el texto es algo incorrecto técnicamente hablando."
Exacto. Y además tremendamente hiperbólico. Si hasta Google considera "seguros" los certificados que caduquen este año. Pero claro, entonces no da para escribir un artículo.
#5 Es que esto es como la ITV. Porque te caduque un certificado no significa que automáticamente la web sea insegura igual que porque te caduque la ITV no te va a explotar el coche.
#4 La noticia creo que trata de que puedes generar un certificado diferente, cambiando únicamente el CN (que es el campo que el navegador compara con el hostname). Luego, cambiando otros campos puedes conseguir con fuerza bruta una colisión, en este caso la misma huella digital SHA1. Si lo consigues, cualquier navegador aceptará el certificado para el host (CN) que hayas modificado.
Yo no lo trataría de noticia, pues como todo algoritmo de este tipo, a medida que pasa el tiempo y aumenta la capacidad de cómputo los algoritmos van perdiendo seguridad.
Dice el artículo que ahora mismo, se estima que costaría unos $700.000 en capacidad de cálculo conseguir una colisión de este tipo, que para un gobierno es asumible.
#21 Sí. Creo que te entiendo lo que quieres decir. Pero eso es lo que yo decía que estaba mal, esos ataques aún son inviables: ir modificando un texto original para encontrar una colisión. Lo que se suele hacer es ir modificando dos textos bajo tu control para encontrar dos textos que colisionen.
In the case of document signing, an attacker could not simply fake a signature from an existing document—the attacker would have to produce a pair of documents, one innocuous and one damaging, and get the private key holder to sign the innocuous document.
#22 Sí, estamos completamente de acuerdo. Pero ojo con lo de inviable. Depende de los recursos disponibles, y por tanto del valor de lo que se podría conseguir rompiendo la seguridad. Véase NSA.
En el artículo habla de que a partir de Chrome 42 marca como inseguras las webs con certificados con SHA1
Uso chrome 44 y las webs que usan SHA1 salen en verde aunque si ves los detalles te dice que usa tecnología obsoleta. Pero no las marca como no seguras...
#10 En eso Mozilla y Google van de la mano. Es más se está hablando ahora de que en un futuro no muy lejano la web sin tráfico cifrado quede excluída de la navegación. No en vano ya hay webs que no permiten una excepción de seguridad simplemente Firefox, por ejemplo no permite acceden a la web. Especialmente desde las últimas versiones (39.0a2 y 40.0a1) que lo de la seguridad Mozilla se lo ha tomado muy en serio. Y Google parecido.
#10 Tiene gracia ver que una web como Menéame tenga más seguridad en la conexión que la web de un banco. Bueno, gracia no tiene mucha, es más reír por no llorar.
Hace unos días instale mi certificado SSL y en ningún momento han comprobado ningún tipo de seguridad electrónica, simplemente certifican que soy YO y ningún otro señor o empresa quien está detras de la ip. Ahora bien, si mi empresa está usando software no seguro es algo que ni siquiera se trata de evaluar.
Lo mismo pasa con las certificaciones ISO y etc., son simples certificados que dicen que tu haces lo que dices que tienes que hacer para producir, en ningún caso cuentan con el asesoramiento de un gabinete de expertos en esa materia que defina un catálogo de malas prácicas a evitar en una panadería, por ejemplo. Ellos van, certifican que haces el pan como dices que haces el pan, pagas un dineral, y te dan un logotipo con numerito que la gente que lo ve cree que significa que en tu panadería no hay cucarachas y la harina es la hostia... Y nada más lejos de la realidad.
#11 El certificado sirve para autenticar el servidor al que te estás conectando, y no a través de la IP, si no a través del dominio, y también para establecer un canal de comunicación seguro, de manera que si alguien es capaz de ver el tráfico que intercambiáis no pueda conocer qué está sucediendo.
Ésta es la finalidad de SSL/TLS, no más, y te aseguro que es de una importancia increíble.
- Tanto SSL como los ISO tienen su importancia. El uno para cifrar y certificar la conexión entre cliente y un servidor controlado por una entidad determinada, el otro para certificar que se realizan una serie de prácticas documentadas según unas normas.
- Ni SSL ni ISO van más allá de lo que son. En ningún momento se habla de si el servidor al que conectas tiene puertas traseras o no, ni de si las prácticas documentadas se realizan sobre materiales de tal o cual calidad. Para eso hay otro tipo de certificados.
- En ambos hay sacacuartos dispuestos a... sacar los cuartos. Son conocidas las "garantías" asociadas a los SSL, que todavía nadie ha sido capaz de cobrar por cómo están especificadas legalmente, y claramente puedes tener el 100% de tus prácticas documentadas, incluso acorde a las normas ISO, sin necesidad de sacarte ningún certificado.
Yo diria que el 99,99% de los sitios web que usan SSL no son 100% seguras, ya que prácticamente todos las combinaciones de algoritmos y protocolos de cifrado de SSL son vulnerables a algo:
* POODLE
* BEAST
* BIAS
* SSLv2
* SSLv3
* TLS1.0
* ...
#8 Ya, y aún asi tampoco hay que fiarse... por que algunas pruebas de Qualys sólo las hace contra el cifrado predeterminado el sitio web en lugar de contra todos los cifrados soportados.
#9 Que tu navegador no identifique a la entidad certificadora como de confianza no significa que no sea segura.
Como bien sabrás (o no), los certificados de organismos oficiales de un país no pueden dejarse en mano de empresas privadas. Por tanto es el propio estado quien crea una entidad certificadora que es la FNMT. Si no tienes añadido esta entidad certificadora como de confianza, tu navegador te advertirá de esta situación con un mensaje parece estar informándote del fin del mundo.
trabajo para una plataforma de una entidad certificadora y la verdad que no hay apenas movimiento por parte de los clientes con sha1 de renovar sus certificados, aún cuando se lo renovamos gratuítamente conforme al contrato de garantía. Vamos que mucha mierda pero al final lo tienen pa pasar el coto mínimo.
#1 Los certificados SHA-1 ya no son válidos, por su inseguridad. Y sobre el SSL, el único SSL realmente seguro, y eso de "realmente" es un poco de aquella manera, es el SSL estricto (sólo se consideran válidos los certificados que provengan de una entidad certificadora autentificada y se prohibe el autorfirmado. Básicamente porque es algo que se usa mucho para ataques Man In The Middle o Ataques de Hombre en el Medio).
#3 SSL es inseguro des de hace tiempo. Ahora mismo únicamente es seguro TLS 1.2, y dependiendo del cifrado que se use por debajo. Una entidad certificadora autentificada no significa nada, lo que hace válido un certificado en nuestro navegador, es la confianza que le hayamos dado a dicha entidad (o que le haya dado el navegador que estemos usando), por ello se llaman autoridades de certificación de confianza.
Esta confianza se basa en confiar en que la clave secreta usada por la autoridad de certificación raíz es secreta, y únicamente es conocida por ellos. También en confiar que únicamente van a emitir certificados asegurándose de que los que piden el certificado son los administradores del dominio que va a usar el certificado.
No te van a dar un certificado para google.com por ejemplo.
#18 Efectivamente. Estaba hablando de los modos del SSL, por ejemplo, como usa Cloudfare como que era el único "realmente" seguro y aclararlo, pero sí tendría que haber dicho lo de TLS 1.2. Como dices el único seguro es TLS 1.2 y mejor mediante AES y el TLS 1.3 promete, aunque está en borrador ahora mismo:
Los peores hackers y script kiddies son funcionarios, así que lo que me preocupa de la seguridad en internet no es la encriptación, sino los sherif.
En el caso de los móviles tenían las claves de la SIM, así que de poco sirve que use una puerta u otra si el que entra en tu casa es el policía con una llave maestra.
Y luego dice el barbitas que lo de rato es un ejemplo de que funciona la justicia... WTF!!!
Comentarios
¿La razón? Ya se ha demostrado que este algoritmo es vulnerable a ataques de fuerza bruta y por lo tanto es posible crear certificados cuyas huellas coincidan con las de las autoridades certificadores sin ser suyas.
Creo que aquí está mezclando churras con merinas y eso es una causalidad falsa.
Los ataques de fuerza bruta sirven para descubrir un texto que está hasheado a base de probar todas las combinaciones posibles. Se utiliza para por ejemplo recuperar la contraseña en texto claro de una base de datos con hashes de passwords, que pueden estar en SHA1, a base de ir probando contraseñas posibles y comparando los hashes a ver si coinciden.
Pero ése no es el tipo de ataque utilizado para suplantar certificados, para eso se utilizan ataques de colisiones de hashes. Generalmente consisten en ir modificando dos textos hasta hacer que los dos produzcan un hash idéntico. Uno de los textos puede ser un certificado para un dominio concreto y el otro para un certificado CA. Entonces, si consigues que alguien te firme el certificado del dominio, sin darse cuenta, también te está firmando el certificado CA y te está dando la posibilidad de crear certificados válidos para cualquier dominio.
Este ataque, hasta donde yo sé, solo se ha conseguido a nivel práctico con MD5, pero aún no con SHA1.
Pero además, esto no hace que las huellas coincidan con las de las autoridades certificadores sin ser suyas. Esos ataques te convierten, por decirlo de alguna manera, en una CA. Al menos hasta que te descubran. Con eso generas tus propios certificados con tus propias firmas, pero el navegador los da por válidos porque ve que tu CA tiene una firma válida de otro CA superior.
Encontrar una colisión para un texto concreto (un certificado de un dominio concreto) no es un ataque tan viable hoy en día. Corregidme si me equivoco, pero lo que se suele hacer es encontrar una colisión con dos textos que tú puedes controlar, ya que es más sencillo.
En general me da la sensación de que el texto es algo incorrecto técnicamente hablando.
#4 "En general me da la sensación de que el texto es algo incorrecto técnicamente hablando."
Exacto. Y además tremendamente hiperbólico. Si hasta Google considera "seguros" los certificados que caduquen este año. Pero claro, entonces no da para escribir un artículo.
#5 Es que esto es como la ITV. Porque te caduque un certificado no significa que automáticamente la web sea insegura igual que porque te caduque la ITV no te va a explotar el coche.
#4 yo tampoco soy un experto en el tema, ni mucho menos, pero pienso lo mismo que tu
#4 La noticia creo que trata de que puedes generar un certificado diferente, cambiando únicamente el CN (que es el campo que el navegador compara con el hostname). Luego, cambiando otros campos puedes conseguir con fuerza bruta una colisión, en este caso la misma huella digital SHA1. Si lo consigues, cualquier navegador aceptará el certificado para el host (CN) que hayas modificado.
Yo no lo trataría de noticia, pues como todo algoritmo de este tipo, a medida que pasa el tiempo y aumenta la capacidad de cómputo los algoritmos van perdiendo seguridad.
Dice el artículo que ahora mismo, se estima que costaría unos $700.000 en capacidad de cálculo conseguir una colisión de este tipo, que para un gobierno es asumible.
#21 Sí. Creo que te entiendo lo que quieres decir. Pero eso es lo que yo decía que estaba mal, esos ataques aún son inviables: ir modificando un texto original para encontrar una colisión. Lo que se suele hacer es ir modificando dos textos bajo tu control para encontrar dos textos que colisionen.
http://en.wikipedia.org/wiki/SHA-1#Attacks
In the case of document signing, an attacker could not simply fake a signature from an existing document—the attacker would have to produce a pair of documents, one innocuous and one damaging, and get the private key holder to sign the innocuous document.
#22 Sí, estamos completamente de acuerdo. Pero ojo con lo de inviable. Depende de los recursos disponibles, y por tanto del valor de lo que se podría conseguir rompiendo la seguridad. Véase NSA.
En el artículo habla de que a partir de Chrome 42 marca como inseguras las webs con certificados con SHA1
Uso chrome 44 y las webs que usan SHA1 salen en verde aunque si ves los detalles te dice que usa tecnología obsoleta. Pero no las marca como no seguras...
#10 No son todos los certificados SHA-1, sólo los que caducan de 2017 en adelante.
Vamos, que no los considera inseguros ahora, pero los considerará inseguros en el futuro.
#10 En eso Mozilla y Google van de la mano. Es más se está hablando ahora de que en un futuro no muy lejano la web sin tráfico cifrado quede excluída de la navegación. No en vano ya hay webs que no permiten una excepción de seguridad simplemente Firefox, por ejemplo no permite acceden a la web. Especialmente desde las últimas versiones (39.0a2 y 40.0a1) que lo de la seguridad Mozilla se lo ha tomado muy en serio. Y Google parecido.
Salu2
#10 Tiene gracia ver que una web como Menéame tenga más seguridad en la conexión que la web de un banco. Bueno, gracia no tiene mucha, es más reír por no llorar.
Hace unos días instale mi certificado SSL y en ningún momento han comprobado ningún tipo de seguridad electrónica, simplemente certifican que soy YO y ningún otro señor o empresa quien está detras de la ip. Ahora bien, si mi empresa está usando software no seguro es algo que ni siquiera se trata de evaluar.
Lo mismo pasa con las certificaciones ISO y etc., son simples certificados que dicen que tu haces lo que dices que tienes que hacer para producir, en ningún caso cuentan con el asesoramiento de un gabinete de expertos en esa materia que defina un catálogo de malas prácicas a evitar en una panadería, por ejemplo. Ellos van, certifican que haces el pan como dices que haces el pan, pagas un dineral, y te dan un logotipo con numerito que la gente que lo ve cree que significa que en tu panadería no hay cucarachas y la harina es la hostia... Y nada más lejos de la realidad.
Es un sacacuartos más como otro cualquiera.
#11 El certificado sirve para autenticar el servidor al que te estás conectando, y no a través de la IP, si no a través del dominio, y también para establecer un canal de comunicación seguro, de manera que si alguien es capaz de ver el tráfico que intercambiáis no pueda conocer qué está sucediendo.
Ésta es la finalidad de SSL/TLS, no más, y te aseguro que es de una importancia increíble.
#11 #20 Los dos tenéis razón, en parte:
- Tanto SSL como los ISO tienen su importancia. El uno para cifrar y certificar la conexión entre cliente y un servidor controlado por una entidad determinada, el otro para certificar que se realizan una serie de prácticas documentadas según unas normas.
- Ni SSL ni ISO van más allá de lo que son. En ningún momento se habla de si el servidor al que conectas tiene puertas traseras o no, ni de si las prácticas documentadas se realizan sobre materiales de tal o cual calidad. Para eso hay otro tipo de certificados.
- En ambos hay sacacuartos dispuestos a... sacar los cuartos. Son conocidas las "garantías" asociadas a los SSL, que todavía nadie ha sido capaz de cobrar por cómo están especificadas legalmente, y claramente puedes tener el 100% de tus prácticas documentadas, incluso acorde a las normas ISO, sin necesidad de sacarte ningún certificado.
#27 De eso hablaba.
¿No es precisamente eso lo que dice el artículo? ¿que el posible problema es que pueden suplantar la identidad de un sitio web?
Yo diria que el 99,99% de los sitios web que usan SSL no son 100% seguras, ya que prácticamente todos las combinaciones de algoritmos y protocolos de cifrado de SSL son vulnerables a algo:
* POODLE
* BEAST
* BIAS
* SSLv2
* SSLv3
* TLS1.0
* ...
#6 Yo suelo utilizar la web de Qualys SSL Labs para comprobar la seguridad SSL de un sitio web: https://www.ssllabs.com/ssltest/
#8 Ya, y aún asi tampoco hay que fiarse... por que algunas pruebas de Qualys sólo las hace contra el cifrado predeterminado el sitio web en lugar de contra todos los cifrados soportados.
#12xkill me decepcionas; una persona de tu categoria terminaria el comentario aconsejando usar sslscan en su nueva versión
A mi me sucede continuamente en sitios web de administraciones públicas.
#9 Que tu navegador no identifique a la entidad certificadora como de confianza no significa que no sea segura.
Como bien sabrás (o no), los certificados de organismos oficiales de un país no pueden dejarse en mano de empresas privadas. Por tanto es el propio estado quien crea una entidad certificadora que es la FNMT. Si no tienes añadido esta entidad certificadora como de confianza, tu navegador te advertirá de esta situación con un mensaje parece estar informándote del fin del mundo.
trabajo para una plataforma de una entidad certificadora y la verdad que no hay apenas movimiento por parte de los clientes con sha1 de renovar sus certificados, aún cuando se lo renovamos gratuítamente conforme al contrato de garantía. Vamos que mucha mierda pero al final lo tienen pa pasar el coto mínimo.
Una cosa es el certificado, que dice que esa pagina es-la-que-es y de-quien-es
y otra el tipo de cifrado qeu tenga
#1 Los certificados SHA-1 ya no son válidos, por su inseguridad. Y sobre el SSL, el único SSL realmente seguro, y eso de "realmente" es un poco de aquella manera, es el SSL estricto (sólo se consideran válidos los certificados que provengan de una entidad certificadora autentificada y se prohibe el autorfirmado. Básicamente porque es algo que se usa mucho para ataques Man In The Middle o Ataques de Hombre en el Medio).
Salu2
#3 SSL es inseguro des de hace tiempo. Ahora mismo únicamente es seguro TLS 1.2, y dependiendo del cifrado que se use por debajo. Una entidad certificadora autentificada no significa nada, lo que hace válido un certificado en nuestro navegador, es la confianza que le hayamos dado a dicha entidad (o que le haya dado el navegador que estemos usando), por ello se llaman autoridades de certificación de confianza.
Esta confianza se basa en confiar en que la clave secreta usada por la autoridad de certificación raíz es secreta, y únicamente es conocida por ellos. También en confiar que únicamente van a emitir certificados asegurándose de que los que piden el certificado son los administradores del dominio que va a usar el certificado.
No te van a dar un certificado para google.com por ejemplo.
Salu3
#18 y que no llegue otro software de terceros y se registre en el equipo como autoridad CA reconocida. Como hizo Lenovo
#18 Efectivamente. Estaba hablando de los modos del SSL, por ejemplo, como usa Cloudfare como que era el único "realmente" seguro y aclararlo, pero sí tendría que haber dicho lo de TLS 1.2. Como dices el único seguro es TLS 1.2 y mejor mediante AES y el TLS 1.3 promete, aunque está en borrador ahora mismo:
https://es.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.3_.28draft.29
Salu2
Los peores hackers y script kiddies son funcionarios, así que lo que me preocupa de la seguridad en internet no es la encriptación, sino los sherif.
En el caso de los móviles tenían las claves de la SIM, así que de poco sirve que use una puerta u otra si el que entra en tu casa es el policía con una llave maestra.
Y luego dice el barbitas que lo de rato es un ejemplo de que funciona la justicia... WTF!!!