Un certificado digital es un fichero generado por una entidad certificadora, CA, imposible de manipular y que asegura la identidad de una persona en la red. Estos certificados pueden ser utilizados para demostrar que una red es original, que los datos transmitidos a través de Internet no han sido modificados e incluso para cifrar el tráfico de red entre dos puntos de manera que este no pueda ser legible por personas no autorizadas, sin embargo, en ocasiones estos certificados digitales pueden verse comprometidos, lo que supone un riesgo para los usuarios y las comunicaciones.
Hace algunas horas, Microsoft daba a conocer a través de la web de TechNet que los certificados digitales SSL / TLS de su plataforma xboxlive.com se habían visto comprometidos. Según afirma el gigante del software, estos certificados pueden estar siendo utilizados por terceras personas no autorizadas para llevar a cabo ataques Man-in-the-Middle, engañando a los usuarios con supuestas conexiones seguras que, en realidad, están siendo manipuladas, aunque por el momento Microsoft tiene constancia de que este tipo de ataques se esté llevando a cabo.
Por suerte, estos certificados robados solo son válidos para las conexiones del sitio web xboxlive.com y no pueden utilizarse para emitir otros certificados, suplantar otros dominios ni para firmar código. Todas las versiones de Windows son vulnerables ante este problema.
Si queremos asegurarnos de estar utilizando un certificado seguro y fiable cuando visitemos alguna supuesta web relacionada con Xbox Live debemos asegurarnos de que la huella, o fingerprint, es diferente al de los certificados comprometidos: 8b2e65a5da17fcccbcde7ef87b0c0ed5d0701f9f.
Microsoft ya ha revocado las claves afectadas
En cuando Microsoft ha sido consciente de que los certificados fueron comprometidos, la compañía revocó la validez de estos, por lo que desde este momento cualquier navegador moderno debería identificarlos como certificados sospechosos y peligrosos.
Los sistemas operativos Windows 8, 8,1 y 10, así como la versión Server 2012, cuentan con un sistema de actualización automática de certificados de confianza, por lo que automáticamente se habrán instalado los nuevos certificados en los sistemas y se habrán incluido los certificados comprometidos en la lista negra del sistema operativo, no teniendo que realizar ninguna acción adicional para que el sistema operativo y los dispositivos que ejecuten Windows Mobile queden asegurados. Los usuarios de las versiones anteriores de Windows no tendrán que realizar ninguna acción adicional siempre y cuando esté ejecutando también el actualizador automático de certificados de confianza.
¿Qué opinas sobre el robo de los certificados de Xbox Live de las manos de Microsoft? ¿Crees que la compañía debería proteger mejor este tipo de elementos?
Quizá te interese:
- La Fábrica Nacional de Moneda y Timbre recomienda actualizar los certificados digitales
- Obtén certificados digitales fácilmente con Let’s Encrypt
- Despiden a tres empleados de Symantec por crear certificados falsos de Google