Español | English
rss facebook linkedin Twitter

¿Me copias Internet en este disco? (edición SSL)

Leyendo esta noticia en la que se comenta que la entidad de certificación TurkTrust emitió "por error" dos certificados de CA subordinada (con la capacidad de generar otros certificados validos sin control) en vez de certificados normales, se me ocurrió una idea:

¿Y si hay mas certificados de CA emitidos por error circulando por ahí?

Así que le pregunte a mi colega imaginario Patxi: ¿Patxi, que te parece si nos bajamos todos los certificados de Internet y vemos si hay alguno vulnerable?
Patxi: ¡Venga pues!

Así que me puse manos a la obra descargando todos los certificados que pude encontrar en la red. Pero al rato me di cuenta de que Internet es tirando a grande y que iba a tardar un poco. Así que para acortar decidí empezar primero por el millón de sitios más populares (Alexa) y le pedí ayuda a algunos compañeros.

La respuesta rápida a si hay certificados de CA que son utilizados para servir SSL, es que si. Por "suerte" ninguno de los que hemos podido ver por ahora ha sido validado por una CA reconocida, así que no valen para hacer cosas malas.



Del millón de sitios analizados, 419.218 respondían a conexiones SSL en el puerto 443 TCP. De ellos se descargaron y clasificaron los correspondientes certificados de servidor, de los cuales 41.724 tenían el atributo de CA a TRUE. Aunque como hemos dicho ninguno de ellos validado por una entidad de certificación reconocida.

Además de comprobar si estos certificados tenían atributos de CA, se pueden realizar otros análisis sobre ellos en busca de posibles vulnerabilidades o debilidades criptográficas, como por ejemplo:
- Validez del certificado
- Algoritmos de firma vulnerables
- Uso de llaves pequeñas
- Llaves generadas con una versión vulnerable de Openssl (Debian)
- Módulos duplicados
- Factores duplicados
- Exponentes pequeños
- Factores pequeños



Pero de esto ya os hablare en futuros artículos.

Muchas gracias por su ayuda a:
Francisco Caballero, Pedro Luis Fernández, Eugenio Delfa y Marc Rivero

Ramón Pinuaga
Dept. ACSS S21SEC


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login