Firefox 31 mejorará la verificación de certificados SSL en su navegador

Escrito por Sergio De Luz
Seguridad
3

Mozilla tiene pensado implementar un nuevo sistema de verificación de certificados SSL en el conocido navegador Firefox. Con el fin de mejorar la seguridad, Firefox versión 31 (que se espera que sea lanzado en julio) tendrá un nuevo sistema para verificar los certificados y será más restrictiva que la que hay actualmente.

Algunas de las principales modificaciones son las siguientes:

  • El certificado X.509 versión 2 no se permite, independientemente de su posición (raíz, intermediaria o entidad final). La versión 1 de X.509 sólo se permite como anclas de confianza.
  • El certificado X.509 versión 3 que se usan como anclas de confianza o intermediarios se requiere que tengan la extensión de restricciones básicas y es obligatorio que tengan el bit de “isCA”.
  • Los certificados de entidad finales utilizados por los servidores no se les permite tener restricciones básicas afirmando que isCA=TRUE.

Estos cambios intentan prevenir el abuso en las entidades intermedias, que pueden ser empleadas para expedir certificados SSL para cualquier dominio de Internet.

https_everywhere_main

El nombre del nuevo sistema que integrará Firefox se llama Mozilla::pkix, e incorpora otra serie de características que tenéis a continuación:

  • Este nuevo sistema realiza un encadenamiento basado en únicamente el nombre del emisor.
  • Los certificados de entidad finales que contienen la extensión EKU ahora están obligados a comprobar el “serverAuth”, además no se les permite incluir la OCSPSigning EKU.
  • Los certificados intermedios que contengan la extensión EKU requerirán que se compruebe el “serverAuth” o el NSGC de forma temporal.

Este nuevo sistema aún está en desarrollo, de hecho han creado un programa para premiar a los usuarios que encuentren fallos de seguridad en este sistema.

¿El usuario tendrá que realizar algún cambio?

No, todo es transparente de cara al usuario, sin embargo es posible que algunos sitios con HTTPS sí tengan problemas ya que el certificado SSL que tienen podría no ser válido con Firefox 31 y al usuario le saldría la típica advertencia de que no se confía en el certificado.


Noticias relacionadas

Comentarios


3 comentarios
  1. usuario 30 Abr, 14 18:47

    Creo que nadie negará que los de Mozilla contribuyen con todo esto a un internet de más calidad y seguridad

    Responder
    0
  2. nova6k0 01 May, 14 16:03

    Y tanto que funciona (ahora con la Nightly 32.0a1 aún mejor) muchas de las webs que veo con HTTPS ninguna pasó el filtro. Hubo un problema de caducidad del certificado o falta de veracidad del mismo.

    Salu2

    Responder
    0
  3. spawn 01 May, 14 16:14

    Exacto, el trabajo que está haciendo mozilla por mejorar la web es enorme.

    Responder
    0