Vulnerabilidades encontradas en el algoritmo hash MD5 permiten la creación de certificados fraudulentos

Vulnerabilidades encontradas en el algoritmo hash MD5 permiten la creación de certificados fraudulentos, esto podría traer consigo la creación de sitios phishing con certificados aparentemente válidos.

Una vulnerabilidad encontrada en el algoritmo hash MD5 es aprovechada para generar certificados digitales fraudulentos, esto en gran medida puede conllevar al engaño por la creación de sitios phishing que aparentemente son válidos. El problema fue dado a conocer en el evento «chaos Communications Conference» celebrado en Berlin el pasado mes

Las autoridades certificadoras que implementen el uso de este algoritmo deben de cambiar hacia el uso de SHA1 para poder proteger la integridad de sus certificados. Un gran numero de autoridades certificadoras utilizan el algoritmo MD5 para la generación de sus certificados, y un 14% de sitios web estan utilizando certificados que fueron generados con este algoritmo.

Para muchos, los ataques que derive esta vulnerabilidad no es de gran sorpresa debido a que la debilidad descubierta sobre el algoritmo MD5 habia sido conocida desde el 2004.

Uno puede ver el historial de esta vulnerabilidad en la siguiente liga :
http://isc.sans.org/diary.html?storyid=5590, ahora bien si se quiere verificar el certificado de nuestro sitio podemos hacerlo online mediante site http://www.networking4all.com/nl/helpdesk/tools/site+check/

Otros sitios de interes con respecto a esta nota :

http://gcn.com/Articles/2008/12/31/SSL-certs-busted.aspx?p=1
http://www.securityfocus.com/news/11541
http://www.heise-online.co.uk/security/25C3-MD5-collisions-crack-CA-certificate–/news/112327
http://www.securityfocus.com/brief/880

Saludos Cordiales

Error de Plesk con SSL en /var/log/sw-cp-server/error_log

El error que sale continuamente en el log de Plesk /var/log/sw-cp-server/error_log es el siguiente : Error: (connections.c.299) SSL: 1 error:140780E5:SSL routines:SSL23_READ:ssl handshake failure

La solución parece ser un bug de Plesk , aunque estuve googleando un buen rato, no encontré mucho sobre el tema, el caso es que estaba obteniendo este error en /var/log/sw-cp-server/error_log, además aparecía cada 6 minutos por lo que en 3 días con el servidor funcionando, ya tenía dos historicos del archivo comprimidos en .gz.

Finalmente, buscando en la ayuda de Plesk, encontré la forma de que no volviera a aparecer más, la verdad es que no tiene mucha complicación, lo único que tenemos que hacer es, generar un certificado, dependiendo de las necesidades de cada uno, se puede comprar o autogenerarlo, os hago un copy/paste de la solución en la ayuda de Plesk .

En caso de que necesite generar un certificado autofirmado, siga este procedimiento:

1. Vaya a Inicio > Seguridad > Certificados SSL. Se le mostrará una lista de los certificados SSL existentes en su repositorio.
2. Haga clic en Añadir Certificado SSL.
3. Indique las propiedades del certificado:
* Nombre del certificado. Este le ayudará a identificar este certificado en el repositorio.
* Nivel de Encriptación. Escoja el nivel de encriptación para su certificado SSL. Le recomendamos que escoja un valor superior a 1024 bits.
* Indique su ubicación y el nombre de la organización. Los valores introducidos no deben exceder los 64 símbolos permitidos.
* indique el nombre del servidor para el que ha adquirido el certificado SSL. Por ejemplo: your-domain.com
* Introduzca su dirección de email.
4. Haga clic en el botón Autofirmado. Se generará su certificado y se almacenará en el repositorio.