Mozilla tiene pensado implementar un nuevo sistema de verificación de certificados SSL en el conocido navegador Firefox. Con el fin de mejorar la seguridad, Firefox versión 31 (que se espera que sea lanzado en julio) tendrá un nuevo sistema para verificar los certificados y será más restrictiva que la que hay actualmente.
Algunas de las principales modificaciones son las siguientes:
- El certificado X.509 versión 2 no se permite, independientemente de su posición (raíz, intermediaria o entidad final). La versión 1 de X.509 sólo se permite como anclas de confianza.
- El certificado X.509 versión 3 que se usan como anclas de confianza o intermediarios se requiere que tengan la extensión de restricciones básicas y es obligatorio que tengan el bit de «isCA».
- Los certificados de entidad finales utilizados por los servidores no se les permite tener restricciones básicas afirmando que isCA=TRUE.
Estos cambios intentan prevenir el abuso en las entidades intermedias, que pueden ser empleadas para expedir certificados SSL para cualquier dominio de Internet.
El nombre del nuevo sistema que integrará Firefox se llama Mozilla::pkix, e incorpora otra serie de características que tenéis a continuación:
- Este nuevo sistema realiza un encadenamiento basado en únicamente el nombre del emisor.
- Los certificados de entidad finales que contienen la extensión EKU ahora están obligados a comprobar el «serverAuth», además no se les permite incluir la OCSPSigning EKU.
- Los certificados intermedios que contengan la extensión EKU requerirán que se compruebe el «serverAuth» o el NSGC de forma temporal.
Este nuevo sistema aún está en desarrollo, de hecho han creado un programa para premiar a los usuarios que encuentren fallos de seguridad en este sistema.
¿El usuario tendrá que realizar algún cambio?
No, todo es transparente de cara al usuario, sin embargo es posible que algunos sitios con HTTPS sí tengan problemas ya que el certificado SSL que tienen podría no ser válido con Firefox 31 y al usuario le saldría la típica advertencia de que no se confía en el certificado.
Os recomendamos visitar el tutorial toma el control de tu privacidad con estos navegadores y programas.