La empresa de seguridad CompuTest, ha descubierto varios defectos de diseño e implementación de Startencrypt, la cual es una herramienta de la compañía Startcomp para la expedición de certificados SSL gratuitos.
Los usuarios pueden escoger e implementar certificados SSL gratis de StartSSL tomando en cuenta que esta oferte proviene de StartEncrypt, solo necesitan descargar un cliente en Linux y desplegarlo en los servidores. Este cliente realiza una validación de dominio, emite e instala un certificado SSL de “Validación Extendida” EV par el dominio que ha encontrado en el servidor.
CompuTest, ha encontrado que el proceso de validación tiene fallas, este puede recibir certificados SSL expedidos para otros dominios como Facebook, Gogole, Drobox, etc… y podrían ser vendidos en el mercado negro o ser utilizados para ataques MitM.
El segundo problema es más grave, este permite a un atacante obtener los certificados SSL para cualquier dominio. Según indica el investigador Thijs Alkemade de StartCom, una de las llamadas de verificación de la API contiene un parámetro llamado “verifyRes”, que se obtiene desde la URL. Esto permite al atacante manipular la petición y controlar un servidor que no le pertenece.
CompuTest también encontró que StartEncrypt no comprueba la valides del certificado del propio servidor cuando se conecta a la API, esto podría permitir recibir solicitudes para emitir certificados falsos. Estos son algunos de los problemas que la compañía ha encontrado con estos certificados gratuitos.
StarCom ha lanzado una nueva versión el cliente StartEncrypt para Linux versión 1.0.0.1. CompuTest ha informado de otros problemas la cual aún no se han corregido.
Fuente: Softpedia
No hay comentarios.:
Publicar un comentario