Criado Indomable

Un intento de Blog de Sebastián D. Criado – 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

Posts etiquetados ‘cetificado ssl’

Posible certificado SSL de Twitter.com comprometido

Publicado por criadoindomable en Lunes, abril 6, 2009 18:43

SeguridadLo reporte hace 2 semanas, no me respondieron y el ticket no está más.¿Que tengo que pensar?

Solo me llego un mail indicando que el ticket estaba abierto por más de dos semanas.
Espero que lo estén resolviendo o bien viendo si el tema es tal cual lo he reclamado ya que el reporte que hice se debía a que “aparentemente” Twitter  tiene problemas con el certificado MD5-RSA de su sitio https://twitter.com según lo indica el plugin SSL Blacklist y sería vulnerable a un tipo de ataque particular podría ser explotado para hacer un MD5 collision attack y de esa forma poder hacerse pasar por el sitio real mediante un certificado que para el cliente sería valido.

Lo raro del tema es que no hayan atendido el reclamo y que todavía exista el certificado que aparentemente está comprometido, cuando podría ser muy simple “contestar” y, si no contestan, por lo menos verificar que estoy equivocado (o mejor dicho que está equivocado el plugin de SSL Blacklist).

Según el plugin de SSL Blacklist (el cual está aqui abajo) el certificado es vulnerable.

Resultado del SSL BlackList

Resultado del SSL BlackList

El fingerprint informado, curiosamente aparece como validado por la gente de TrustDefender

trustdefender1

Y como comente, dado que no responden, tampoco lo niegan y existen opiniones distintas, tengo que considerarlo como “posiblemente comprometido”al certificado SSL de Twitter.com.

Mientras, el mail que me enviaron dice:

Ticket #101257: Weaknesses in MD5 in SSL ce…

Hi Sebastian Criado,

Twitter Support is experiencing a ticket backlog. You’re receiving this email because your request has been open for more than two weeks. It’s possible that we’ve already fixed the issue: check out the Twitter Status blog for known and fixed bugs:

http://status.twitter.com

Often times, we’re already working on the problem you’re reporting, or the answer to your question is already listed in our help resources. Visit our Support home page:
http://help.twitter.com/portal

and type your question or keyword into the search bar in the sidebar to see if the answer to your question is in one of our help resources. If you have a question about how to do something or need more information about a certain feature, please check our Getting Started resources:
http://help.twitter.com/forums/10711/entries

and our How To section:
http://help.twitter.com/forums/23786/entries

If you’re having a problem, please check our Trouble shooting and Known Issues resources to see if it’s something you can fix, or something we’re already working on fixing. You can add your comments to known issues topics, which we check daily.

Finally, if you’re having trouble with a Terms of Service issue (like Copyright, Terms of Service, Trademark, etc.) please consult the policies to find out what steps to take for a quick resolution:
http://help.twitter.com/forums/26257/entries
Make sure to select ‘Terms of Service’ when you submit your request for the fastest resolution.

If none of these resources have helped you, please reply to this email and let us know. There is no need for duplicate requests, one is sufficient. Check on open requests here at anytime:
http://help.twitter.com/requests/portal/index

Thanks for being patient!
Twitter Support

El problema, sigue allí, por lo menos, “aparentemente”.

Publicado en Seguridad | Etiquetado: , , , , | 2 Comments »

 
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.