[lacnog] MD5 en SSL totalmente quebrado - Crean un certificado CA falso
Roque Gagliano
roque en lacnic.net
Mie Ene 7 17:42:29 BRST 2009
para quienes administren CA o tengan certificados emitidos que se
firman con MD5, varias CA tiene un proceso voluntario en curso donde
uno pide la revocación del certificado que utiliza ME5 y se emite otro
en general con SHA-1.
lo que no tengo claro es qué pasa si el root-cert está firmado con
MD5...ahí tiene que entrar el proceso de "roll-over" que no es muy
fácil, en especial debido a que muchos browsers tienen los
certificados embebidos.
Roque
On Jan 7, 2009, at 4:03 PM, Carlos M. Martinez wrote:
> Personalmente, desde hace ya bastante tiempo no he recomendado el
> uso de MD5 para ninguna aplicacion fuera de lo trivial. Al igual que
> Roque, creo que hace tiempo que todos deberiamos estar ya usando
> SHA-256.
>
> slds
>
> Carlos
>
> Roque Gagliano wrote:
>>
>> hola Francisco,
>>
>> La pregunta que yo me he hecho es si vale la pena utilizar SHA-1 o
>> directamente pasar a SHA-256. Mi respuesta ha sido pasar a SHA-256.
>>
>> r.
>>
>> On Jan 6, 2009, at 4:44 PM, Francisco Arias wrote:
>>
>>> Por si no lo han visto ya:
>>>
>>> Un grupo de investigadores dicen ser capaces de crear un
>>> certificado,
>>> incluso un certificado CA intermedio que aparenta ser firmado por un
>>> CA real y comúnmente aceptado por los navegadores, que use MD5. Ya
>>> con
>>> ese certificado CA falso, imagínense lo que pueden hacer, sobre todo
>>> combinándolo con la(s) vulnerabilidad(es) en el DNS.
>>>
>>> http://blogs.techrepublic.com.com/security/?p=724
>>>
>>> El texto del artículo:
>>>
>>> http://www.win.tue.nl/hashclash/rogue-ca/
>>>
>>> Aún no dan los detalles específicos clave de cómo hacerlo por
>>> seguridad, según dicen.
>>>
>>> --
>>> fjac
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20090107/ea340a1f/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: PGP.sig
Type: application/pgp-signature
Size: 194 bytes
Desc: This is a digitally signed message part
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20090107/ea340a1f/attachment.sig>
Más información sobre la lista de distribución LACNOG