Comodo corrige bug que levou à emissão de certificados digitais proibidos

A Comodo informou na segunda-feira que consertou um bug que levou à emissão de alguns certificados digitais banidos. Outras CAs podem ter o mesmo problema também.

Sob as novas regras do CA / Browser Forum (CAB) que entrou em vigor em 1º de novembro, as autoridades de certificação (CAs) não devem emitir novos SSL / TLS (Secure Sockets Layer / Transport Layer Security) certificados para nomes de host internos

Comodo estava se preparando para a mudança de regras, mas um "bug sutil" foi introduzido em seu sistema de emissão em 30 de outubro, escreveu Rob Stradling, pesquisador sênior e desenvolvimento cientista, em um post no CAB Forum

[Leia mais: Como remover malware do seu PC com Windows]

"Apesar de nossos processos de revisão de código e controle de qualidade, esse bug ainda o transformava em código de produção", escreveu Stradling. .

O resultado foi que oito certificados acabaram sendo emitidos que não deveriam ter sido, e esses certificados foram revogados, escreveu ele.

Outras CAs podem ter tido o mesmo problema. Stradling escreveu que "encontramos certificados não compatíveis emitidos por um grande número de outras CAs, mas eu os documentarei em outro post."

A razão pela qual as CAs não devem emitir certificados SSL / TLS para hosts internos é para evitar ataques man-in-the-middle.

Empresas e organizações compram tradicionalmente certificados SSL / TLS para servidores ou dispositivos com nomes de host internos que não podem ser vistos da Internet pública.

Esses certificados são usado para autenticar as máquinas que estão conversando entre si. Mas como as organizações não são as próprias CAs, elas precisavam comprar esses certificados das CAs.

Enquanto as CAs validam a solicitação de certificados digitais para domínios públicos para garantir que a entidade certa esteja solicitando uma, elas não podem fazer isso para interna hosts.

Isso possibilita que um invasor obtenha um certificado digital para um servidor com um nome genérico, como "local.host", e use-o em um ataque para monitorar o tráfego de dados criptografados de outra organização.

Em outubro de 2016, as CAs deveriam revogar certificados para hosts internos se esses certificados ainda não tivessem expirado.

Stradling escreveu que um hot fix foi distribuído cerca de duas horas depois que a Comodo descobriu o problema.

A implementação desta importante e longamente testada mudança de política ficou abaixo dos padrões que se espera de nós e que esperamos de nós mesmos ", escreveu Stradling.