El pasado martes Se cumplieron 42 días desde la última actualización de Firefox, por lo que, siguiendo su plan de actualizarse cada 6 semanas, se publicó una nueva versión del popular navegador: la 32.0.
Anulación de certificados
Un punto interesante de esta actualización, que aparece en la lista de novedades, es que se han desactivado algunos certificados de 1024 bits. Esto lo podemos considerar una característica más que un parche de seguridad.
Y es que criptográficamente hablando, los certificados digitales que usan claves 1024-bit RSA ya no se consideran seguros.
Esto significa que no nos podemos fiar de estas certificaciones, ya que un ciberdelincuente las puede falsear e introducir una maliciosa con el aspecto de fiable.
Recuerda que, la mayoría de las veces, tu navegador confiará en un certificado firmado por una entidad certificada.
De paso, si quieres echarle un vistazo a cuales son los certificados en que confía tu navegador, probablemente encontrarás la información de tu Firefox muy frustrante, ya que tendrás que hacer clic en cada uno de ellos (y hay cientos) para ver los detalles.
Si esto te ha fastidiado alguna vez, encontrarás muy interesante este enlace.
Paradójicamente, Mozilla no ha eliminado todos los certificados 1024-bit de su lista de Certificate Authorities. Suponemos que lo harán pronto.
Certificate pinning
Otra función interesante introducida en Firefox 32.0 es Public Key Pinning.
Sucintamente, certificate pinning añade chequeos adicionales a los certificados HTTPS de webs muy populares, en vez de comprobar que el certificado lo emite una autoridad autentificada.
Estos chequeos adicionales dificultan la creación de certificados falsos, al tener que incluir mayor información.
Actualmente Mozilla solo ha “pinneado” a ellos mismos y a Twitter, pero ha prometido añadir a la lista Google, Firefox, TOR y Dropbox en las dos próximas actualizaciones.
Así que como siempre, actualizaros lo antes posible, ya que hay novedades interesantes en Firefox 32.0.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario