La nueva funcionalidad en Firefox 32 es compatible con dominios Mozilla y Twitter.
Para prevenir ataques que utilizan certificados de seguridad falsos, Mozilla ha implementado en Firefox 32.0, publicado en esta semana, la funcionalidad Public Key Pinning o Fijación de Llave Pública que permite a los sitios web especificar qué autoridades de certificados (CA) han expedido certificados válidos para ese sitio, y entonces rechazar las conexiones TLS al sitio si el certificado no es emitido por una CA “bien conocida”.
La nueva funcionalidad impedirá ataques de Hombre-En-El-Medio (MITM) que utilicen certificados emitidos por una CA que no se encuentre en la lista del sitio. Este tipo de ataques también son utilizados por ciberdelincuentes que utilizan certificados de seguridad fraudulentos, como fue el caso de DigiNotar dirigido en 2011 a los usuarios de sitios como Google, Yahoo!, Facebook, Microsoft, Skype, AOL, WordPress, y de las agencias de espionaje estadunidense (CIA), israelí (Mossad) y británica (M-16).
Los certificados de seguridad son utilizados para verificar la autenticidad de un sitio y el cifrado del tráfico de datos para su protección. Al visitar un sitio con un certificado SSL no válido el navegador advierte al usuario antes de continuar con la visita al sitio web. Aunque hay muchos sitios web cuyos certificados SSL están desactualizados o provienen de CAs no “bien conocidas”, lo cual no necesariamente signifique que haya malas intenciones en el caso de utilizar el sitio web.
En el caso del ataque a Gmail en 2011, DigiNotar, una CA de Holanda, fue atacada y los atacantes emitieron un certificado SSL falso para el dominio de Google. Los ciberdelincuentes usaron el certificado falso en un sitio web también falso pero parecido al de Gmail. Como el certificado SSL falso era válido para el sitio web falso, el navegador lo dio por bueno y por lo tanto no emitió alerta alguna al usuario permitiendo la entrada de datos que fueron interceptados por los ciberdelincuentes.
La funcionalidad Public Key Pinning de Firefox debe detener los ataques de ese tipo pues el navegador sabría que Diginotar no debió haber expedido un certificado de Google, rechazando la conexión.
La nueva funcionalidad de fijación de llave pública certificados tiene que ser codificada en Firefox. La nueva versión 32 del navegador protege el acceso a los dominios de Mozilla y Twitter. Las siguientes versiones incluirán dominios de Google, Tor, Dropbox y otros.