14% DE LOS CERTIFICADOS SSL ESTAN FIRMADOS USANDO EL ALGORITMO VAS VULNERABLE MD5

Un estudio sobre SSL de Netcraft muestra que 14% de los certificados válidos de terceros han sido generados usando firmas MD5 – un algoritmo que recientemente se demostró que es vunerable a ataques al generar un certificado de autoridad falso firmado por un certificado de autoridad de terceros ampliamente confiable.

Los investigadores lo consiguieron generando una colisión del hash – enviaron pedidos válidos de certificados a una autoridad certificante (CA), mientras producían un segundo certificado que tenía la misma firma pero detalles totalmente diferentes. Cuando la CA firmó el certificado válido, la firma se aplicaba también al certificado inválido, permitiendo a los investigadores burlar cualquier sitio web seguro que quisieran. Este ataque es el primero uso práctico contra SSL de los ya conocidos ataques contra el algoritmo de MD5.

El estudio de Netcraft de Diciembre de 2008 encontró 135.000 certificados válidos de terceras partes que usan firmas MD5 en sitios públicos, lo que es alrededor del 14% del total de certificados SSL en uso, La gran mayoría consiste en certificados de RapidSSL (denominada como Equifax en el certificado). Según el estudio de Netcraft de Diciembre, todos los 128.000 certificados RapidSSL en uso en los sitios públicos, estaban firmados con MD5; hay muchos menos CAs que aun usan MD5, y hay un pequeño número de certificados de Thawte y Verisign, aunque la mayoría de sus certificados están firmados con el más seguro SHA1. Otros CAs solo usan SHA1.