Conecta con nosotros

Noticias

GoDaddy revoca cerca de 9.000 certificados SSL emitidos sin la validación adecuada

Publicado el

GoDaddy, una de las mayores compañías de registro de dominios, se ha visto obligada a revocar casi 9.000 certificados SSL que no habían sido emitidos con la validación necesaria. La empresa ha tomado esta decisión tras conocer durante los últimos cinco meses su sistema de validación de dominios había tenido un bug a causa del cambio de una rutina de código.

Esta rutina, modificada según Computerworld el pasado 29 de julio, se llevó a cabo en el sistema que GoDaddy emplea para validar la propiedad de un dominio antes de emitir un certificado de seguridad. Y a causa de este bug, el sistema puede haber validado algunos dominios que no debería haber autorizado.

GoDaddy trabaja de la siguiente manera: solicita a quien hace la petición que incluya un archivo en el directorio raíz del servidor web donde está el dominio un fichero con el nombre (código).html, donde código es alfanumérico aleatorio y único. Antes del bug, el sistema de validación de certificados de GoDaddy intentaba acceder a este archivo a través de HTTP o HTTPS. Si el servidor respondía con el mensaje HTTP Status Code 200 (success) a este intento de acceso, la herramienta de validación buscaba el código en el cuerpo de la respuesta enviada por el servidor y validaba el dominio.

Pero, con el bug, el sistema ignoraba el mensaje de respuesta y lo validaba directamente, aunque el archivo mencionado no estuviese en el servidor de la web. Esto es un problema grave, porque muchos servidores están configurados para devolver la URL solicitada dentro del cuerpo de un error 404 (not found), lo que daría como consecuencia, en circunstancias normales, que el certificado no quedase validado. De haber descubierto el bug, cualquier internauta con malas intenciones podría haber emitido certificados fraudulentos para nombres de domino no controlados por quien dice ser su propietario. Por suerte, tal como han confirmado desde la empresa, no hay noticias de que se haya producido ningún incidente de este tipo.

Según Wayne Thayer, vicepresidente y director general de Productos de Seguridad de GoDaddy, solo se han visto afectados un porcentaje de certificados inferior al 2% del total: unos 6.100 clientes. Pero la compañía ha decidido retirar varios cientos más (en concreto, 8.951 certificados), dado que no había sido posible validarlos de nuevo por la desaparición de sus archivos de validación.

Validación gratuita

Los propietarios de estos certificados podrán validarlos de nuevo de forma gratuita, pero para ello tienen que conectarse antes a su cuenta de cliente de GoDaddy y comenzar con el proceso de certificación en el panel SSL de la cuenta.

Microsoft, que es uno de los revendedores de GoDaddy ha sido quien ha avisado del bug a la compañía. A su vez, Microsoft tuvo conocimiento del problema gracias al aviso de uno de sus clientes que, según Thayer, «revocó el certificado que había obtenido. También se han revocado otros certificados emitidos como resultado de peticiones de pruebas hechas por Microsoft y GoDaddy«.

El pasado miércoles, los responsables de la empresa decidieron dejar de utilizar sus sistema de control de validación de dominios basado en un archivo, pero no está claro si otras entidades certificadoras están utilizando sistemas de validación parecidos, con los que un atacante podría obtener certificados para dominios de los que no es propietario.

El Foro de Entidades Certificadoras y Navegadores, una organización encargada de crear las leyes que regulan la emisión de certificados, conoce este problema desde el mes de abril pasado, y ya ha emitido normas nuevas para la validación, que entrarán en vigor el próximo 1 de marzo. Según las mismas, los códigos secretos que se usan para validar dominios no deben aparecer en las peticiones utilizadas por las certificadoras para recuperar los archivos o las webs en las que están estos códigos.

Lo más leído