La autoridad de certificación WoSign experimentó varios fallos de control en sus procesos de emisión de certificados para la autoridad de certificación intermedia WoSign CA Free SSL Certificate G2. Aunque no hay ningún certificado raíz de WoSign en la lista de confianza de Apple, esta autoridad de certificación intermedia utilizó relaciones de certificado con firmas cruzadas con StartCom y Comodo para establecer la confianza en los productos Apple.

A la luz de estos hallazgos, Apple ha llevado a cabo acciones para proteger a los usuariosque estarán disponibles  en una próxima actualización de seguridad.  Los productos de Apple ya no confiarán en la autoridad de certificación intermedia WoSign CA Free SSL Certificate G2.

Para evitar interrupciones en los titulares del certificado WoSign existentes y permitir su transición a certificados raíces de confianza, los productos de Apple confiarán en los certificados individuales existentes emitidos desde esta autoridad de certificación intermedia y publicados en servidores de registro de Transparencia de certificados públicos antes del 19 de septiembre de 2016. Seguirán siendo de confianza hasta que venzan, se revoquen o, a criterio de Apple, no sean de confianza y sean desactivados.

Según pasos dados posteriormente por Apple en su investigación, la compañía de Cupertino ha concluido que, además de múltiples fallos de control en el funcionamiento de la autoridad de certificación de WoSign (CA), WoSign no reveló la adquisición de StartCom.

Apple está tomando otras medidas para proteger a los usuarios en una próxima actualización de seguridad. Los productos de Apple bloquearán los certificados de las entidades emisoras raíz de WoSign y StartCom si la fecha «Not Before» es el 1 de diciembre de 2016 o 00:00:00 GMT / UTC.

Vía Apple

In this article

Join the Conversation

2 comments

  1. Fai

    ¿Esto está relacionado con el tema de las invitaciones no deseadas del Calendario?