Blog de Seguridad Informática

HeartBleed: Cambiar los Certificados y la clave privada

3 pasos para evitar heartbleed

Heartbleed es historia como error en los certificados basados en OpenSSL ya que se ha instalado en todos los certificados erróneos el parche o bien han actualizado hasta el nuevo OpenSSL.  Sin embargo no basta con actualizar los certificados y revocar los antiguos – los dañados-, también hay que renovar la clave privada o CSR.

Desde que saltó la alarma de SSL, se han revocado más de 30 mil certificados de seguridad. Sin embargo muchos de ellos siguen usando la clave privada antigua…que podría haber sido clonada o pirateada. Por tanto un certificado nuevo, sin el error de Heartbleed, con la antigua clave, es tan vulnerable como un SSL aún con Heartbleed.

Reusar la clave antigua te deja exactamente igual que tener el certificado antiguo.

3 Pasos para evitar Heartbleed

Para que nuestro sitio tenga fortaleza y no deje que cualquier pirata informático pueda suplantar nuestra personalidad digital o pueda acceder a nuestros datos privados, tendremos que:

  • Reemplazar los certificados SSL
  • Revocar los certificados anteriores
  • Usar una Clave Privada Diferente nueva

Cambiar la clave privada: obligatorio

Perder la clave privada permite a aquel que la posea hacerse pasar por tu sitio web seguro. Por tanto puede engañar a los usuarios suplantando tu personalidad. También permite desencriptar información sensible (por ejemplo datos) o facilitar un ataque masivo.

En Certsuperior siempre solicitamos a nuestros usuarios una nueva Solicitud de Firma para Certificado (CSR). Por esta razón cualquier reemplazo en el certificado siempre conlleva un reemplazo de la clave privada.

Otras empresas sólo solicitan un nuevo certificado en Apache, pero con el CSR antiguo. Por esta razón el parche contra Heartbleed no ha servido para muchos usuarios.

Si tienes dudas de este proceso, puedes llamar a tu account manager en Certsuperior.

Asimismo es importante saber que cuando se revoca un certificado de seguridad, también se eliminan la llave pública de los certificados aprobados. Antes de eliminar la llave pública tienes 48 horas para poder cambiar los certificados del servidor, de esta manera tu sitio web siempre estará seguro.

No reutilizar clave privada en certificados SSL

Esta medida no sólo aplica ahora que hay un problema con los certificados, sino siempre que renueves uno. La clave privada debe ser cambiada como una medida de seguridad adicional, al igual que las contraseñas, las firmas electrónicas…ya que a medida que pasa el tiempo, las computadoras son más sofisticadas para hacer ataques. Pero recuerda, que a medida que pasa el tiempo, también son má sofisticadas para resistir ataques, siempre y cuando estés al día.

Samuel Noriega Certsuperior

Samuel Noriega es un experto en tecnología y marketing digital. Síguelo en Google o en LinkedIn

Comentarios