[lacnog] MD5 en SSL totalmente quebrado - Crean un certificado CA falso

Carlos M. Martinez carlosmarcelomartinez en gmail.com
Mie Ene 7 16:03:47 BRST 2009


Personalmente, desde hace ya bastante tiempo no he recomendado el uso de 
MD5 para ninguna aplicacion fuera de lo trivial. Al igual que Roque, 
creo que hace tiempo que todos deberiamos estar ya usando SHA-256.

slds

Carlos

Roque Gagliano wrote:
> hola Francisco,
>
> La pregunta que yo me he hecho es si vale la pena utilizar SHA-1 o 
> directamente pasar a SHA-256. Mi respuesta ha sido pasar a SHA-256.
>
> r.
>
> On Jan 6, 2009, at 4:44 PM, Francisco Arias wrote:
>
>> Por si no lo han visto ya:
>>
>> Un grupo de investigadores dicen ser capaces de crear un certificado,
>> incluso un certificado CA intermedio que aparenta ser firmado por un
>> CA real y comúnmente aceptado por los navegadores, que use MD5. Ya con
>> ese certificado CA falso, imagínense lo que pueden hacer, sobre todo
>> combinándolo con la(s) vulnerabilidad(es) en el DNS.
>>
>> http://blogs.techrepublic.com.com/security/?p=724
>>
>> El texto del artículo:
>>
>> http://www.win.tue.nl/hashclash/rogue-ca/
>>
>> Aún no dan los detalles específicos clave de cómo hacerlo por
>> seguridad, según dicen.
>>
>> -- 
>> fjac
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
>   

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20090107/ca3b2e01/attachment.html>


Más información sobre la lista de distribución LACNOG