Un usuario iraní apodado como alibó ha reportado este mismo domingo en los foros oficiales de Google un problema para acceder a su cuenta de Gmail, ya que el navegador Google Chrome le advertía de que estaba utilizando un certificado inválido en el servidor de Google. El caso es que alibó intentó conectarse desde una VPN y todo fue sobre ruedas, pues el problema desapareció.

No es la primera vez que ocurre algo similar en Irán, el mismo usuario comenta que cree que este ataque ha sido realizado por su ISP o su gobierno, ya que no es la primera vez que pasa en dicho país. El susodicho certificado falso se trataría de la empresa neerlandesa DigiNotar.

El problema, es que al tratarse de un certificado, si este es falso la conexión podría no ser segura, pues podría haber algún intermediario que estuviera vigilando cada uno de los movimientos del navegante, ya sea el ISP, el gobierno o un hacker cualquiera. Para que un certificado sea declarado confiable y válido debe de ser acreditado por algún CA (Autoridad de Certificación), como en este caso Verisign.

Los principales navegadores ya se han puesto las pilas para solucionar todo esto. Google ha comentado al conocido sitio web CNET que bloqueará todos los sitios con certificados digitales de DigiNotar.

Lo mismo parece que va a hacer Microsoft, que confirma que este falso certificado podría conllevar ataques de pishing y que por lo tanto ha eliminado DigiNotar como certificado raíz de la Microsoft Certificate Trust List. Esta lista de confianza solo se usa en Windows Vista, 7 y Server 2008, por lo tanto habrá que esperar una solución para versiones anteriores de Windows.

Por su lado, Mozilla ha publicado en su blog un tutorial sencillo para eliminar DigiNotar manualmente, aunque es casi seguro que en las próximas actualizaciones vendrá eliminado de forma automática.

Por ahora no se conoce la reacción de Opera y Apple con Safari al respecto, aunque es bastante probable que tomen las medidas respectivas muy pronto. Ya sea publicando alguna actualización que corrija el problema, o con alguna guía o tutorial para paliarlo. Aunque también es probable que implementen sistemas similares a los de Google o Microsoft.

More from my site