Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • GlobalSign Certificate Conundrum - Por qué es difícil hacer bien la PKI

GlobalSign Certificate Conundrum - Por qué es difícil hacer bien la PKI

Ayer (13 de octubre de 2016), algunos segmentos del mundo de la infraestructura de clave pública (PKI ) se pusieron frenéticos cuando un certificado de CA de GlobalSign pareció haber sido revocado. Evidentemente, la revocación de un certificado de CA es un acontecimiento importante, ya que todos los certificados que se encadenan a través de esa CA pierden su validez.

Muchos medios de comunicación informaron de que GlobalSign había "metido la pata" y revocado accidentalmente una CA activa y no comprometida. Sin embargo, GlobalSign volvió a culpar a los implementadores de navegadores: https://www.globalsign.com/en/customer-revocation-error/

"Como parte de un ejercicio planificado para eliminar algunos de esos enlaces, se revocó un certificado cruzado que enlazaba dos raíces ... algunos navegadores dedujeron incorrectamente que la raíz con firma cruzada había revocado los intermedios, lo que no era el caso."

Así que, dependiendo de a quién se crea, la "metedura de pata" fue culpa de GlobalSign o de un código de validación de certificados defectuoso utilizado por navegadores como Google Chrome. Para ser justos con GlobalSign, hemos visto muchos ejemplos de problemas de implementación en SSL/TLS en el pasado: FREAK, HEARTBLEED y el error "goto fail" de Apple, por no mencionar los problemas basados en protocolos como POODLE y DROWN. Teniendo en cuenta estos antecedentes, la explicación de GlobalSign me parece bastante plausible.

En cualquier caso, es una prueba más de que PKI es difícil.