[lacnog] MD5 en SSL totalmente quebrado - Crean un certificado CA falso

Roque Gagliano roque en lacnic.net
Mie Ene 7 10:28:18 BRST 2009


hola Francisco,

La pregunta que yo me he hecho es si vale la pena utilizar SHA-1 o  
directamente pasar a SHA-256. Mi respuesta ha sido pasar a SHA-256.

r.

On Jan 6, 2009, at 4:44 PM, Francisco Arias wrote:

> Por si no lo han visto ya:
>
> Un grupo de investigadores dicen ser capaces de crear un certificado,
> incluso un certificado CA intermedio que aparenta ser firmado por un
> CA real y comúnmente aceptado por los navegadores, que use MD5. Ya con
> ese certificado CA falso, imagínense lo que pueden hacer, sobre todo
> combinándolo con la(s) vulnerabilidad(es) en el DNS.
>
> http://blogs.techrepublic.com.com/security/?p=724
>
> El texto del artículo:
>
> http://www.win.tue.nl/hashclash/rogue-ca/
>
> Aún no dan los detalles específicos clave de cómo hacerlo por
> seguridad, según dicen.
>
> -- 
> fjac
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20090107/2a43111e/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: PGP.sig
Type: application/pgp-signature
Size: 194 bytes
Desc: This is a digitally signed message part
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20090107/2a43111e/attachment.sig>


Más información sobre la lista de distribución LACNOG