02/06/2008 - Debido a que la falla en seguridad recientemente descubierta hace que todos los negocios en línea busquen protección,
VeriSign, Inc., el proveedor confiable de servicios de infraestructura de Internet para el mundo en red anunció hoy un programa para proteger los Certificados SSL de sus clientes sin costo hasta el 30 de junio de 2008. El programa también es aplicable para clientes con Certificados
GeoTrust®,
thawte® y
RapidSSL®.
Esta falla que fue la semana pasada afecta las claves cifradas generadas con versiones específicas de Debian del sistema operativo Linux, y permite a los piratas visualizar datos de una operación cifrada y potencialmente robar las contraseñas, los números de cuenta y de tarjetas de crédito y el número de seguro social de los clientes.
Aunque las raíces y las raíces intermedias utilizadas por los Certificados SSL de VeriSign, Inc, el código de acceso y las marcas de certificado del cliente –VeriSign, GeoTrust, thawte y RapidSSL – no se han visto afectadas por esta falla en seguridad, algunos clientes que utilizan cualesquiera de las cuatro marcas de certificados pueden haber utilizado una de las versiones Linux OS comprometidas para generar pares de claves para los certificados individuales que ellos utilizan. Esto podría generar que la autenticación, el cifrado y las transacciones digitales de acceso de los clientes sean vulnerables a ataques de piratas.
Con el objeto de asegurar protección continua a todas las operaciones en línea en las que intervienen clientes de VeriSign o de sus otras marcas de certificados, hoy la empresa anunció que revocará y reemplazará cualquier SSL, código de acceso o certificado de cliente sin costo alguno. Las empresas que utilicen Certificados SSL de VeriSign pueden investigar su propio certificado y prácticas de cifrado y reemplazar cualquiera de los certificados, según sea necesario, directamente de VeriSign. El programa sin costo permanecerá vigente hasta el 30 de junio de 2008.
La falla se aplica a todas las aplicaciones de software que utilizan pares de clave generadas por versiones del sistema operativo Debian y sus derivados (tales como Ubuntu) publicados entre el 17 de septiembre de 2006 y el 12 de mayo de 2008. Aunque la responsabilidad por la falla en la seguridad es de los proveedores de dichas versiones de Linux OS, cada uno de los operadores de sitios debe asegurarse de instalar los parches recién emitidos que solucionen el tema de vulnerabilidad, para luego reemplazar los Certificados SSL con fallas por nuevos certificados seguros.
“Aunque no se han vulnerado Certificados VeriSign, GeoTrust, thawte o RapidSSL, VeriSign reconoce que tener una Internet segura es esencial para el éxito del comercio en línea” sostuvo Chris Babel, vicepresidente senior, SSL, VeriSign. “Por esta causa, comenzamos a realizar el esfuerzo de reemplazar sin cargo cualquier Certificado SSL dudoso. Cualquier certificado inseguro requiere su reemplazo en forma inmediata ya que los negocios en línea no tienen tiempo que perder. Nosotros fomentamos que ellos actúen en forma inmediata.”
Agregó Babel, “Por la seguridad continua de todos los negocios en línea a nivel mundial, recomendamos que los titulares de otras marcas de certificados los controlen en forma inmediata a fin de determinar si los certificados son seguros para continuar usándolos. Asimismo, recomendamos investigar en forma inmediata todos las CAs (Certificate Authorities – Autoridades Certificadoras) autoafirmados en busca de vulnerabilidad similar. Los operadores de sitios deben contactarse con CA para determinar si las raíces confiables y las intermedias fueron emitidas por Debian o sistemas operativos derivados. Si las raíces CA están comprometidas por esta falla en la seguridad, se recomienda que el administrador deje de utilizar en forma inmediata esos certificados y los reemplace por otros certificados de un CA no comprometido.”
Los clientes pueden obtener información sobre la revocación y el reemplazo de cada marca de certificado en los siguientes sitios:
Certificados SSL VeriSign:
http://www.verisign.com/ssl/current-ssl-customers/manage-ssl-certificates/index.html#revoke
Certificados SSL thawte:
http://www.thawte.com/reissue/?click=buyssl-buttonsleft
Certificados SSL GeoTrust:
http://www.geotrust.com/resources/cert_reissuance/index.asp
Certificados SSL RapidSSL:
https://products.geotrust.com/geocenter/reissuance/reissue.do
El líder en seguridad para Internet confirma que los certificados raíz y de raíz intermedia de VeriSign, GeoTrust, thawte y RapidSSL siguen siendo seguros y ofrece, sin costo, el servicio de revocación y reemplazo de los mismos. 
