Vulnerabilidades encontradas en el algoritmo hash MD5 permiten la creación de certificados fraudulentos, esto podría traer consigo la creación de sitios phishing con certificados aparentemente válidos.
Una vulnerabilidad encontrada en el algoritmo hash MD5 es aprovechada para generar certificados digitales fraudulentos, esto en gran medida puede conllevar al engaño por la creación de sitios phishing que aparentemente son válidos. El problema fue dado a conocer en el evento «chaos Communications Conference» celebrado en Berlin el pasado mes
Las autoridades certificadoras que implementen el uso de este algoritmo deben de cambiar hacia el uso de SHA1 para poder proteger la integridad de sus certificados. Un gran numero de autoridades certificadoras utilizan el algoritmo MD5 para la generación de sus certificados, y un 14% de sitios web estan utilizando certificados que fueron generados con este algoritmo.
Para muchos, los ataques que derive esta vulnerabilidad no es de gran sorpresa debido a que la debilidad descubierta sobre el algoritmo MD5 habia sido conocida desde el 2004.
Uno puede ver el historial de esta vulnerabilidad en la siguiente liga :
http://isc.sans.org/diary.html?storyid=5590, ahora bien si se quiere verificar el certificado de nuestro sitio podemos hacerlo online mediante site http://www.networking4all.com/nl/helpdesk/tools/site+check/
Otros sitios de interes con respecto a esta nota :
http://gcn.com/Articles/2008/12/31/SSL-certs-busted.aspx?p=1
http://www.securityfocus.com/news/11541
http://www.heise-online.co.uk/security/25C3-MD5-collisions-crack-CA-certificate–/news/112327
http://www.securityfocus.com/brief/880
Saludos Cordiales
