Advertencias de seguridad

Resuelta: vulnerabilidad de la confidencialidad directa de Fastly

16 de noviembre de 2016

Resumen


El lunes 14 de noviembre de 2016, varios investigadores de seguridad publicaron un artículo titulado «Measuring the Security Harm of TLS Crypto Shortcuts» (Medición de los perjuicios que ocasionan en la seguridad los atajos del cifrado TLS). Entre otras conclusiones de la implementación de TLS en varios sitios, el artículo constataba que Fastly no estaba rotando vales de sesión TLS con frecuencia, lo que limitaba la eficacia de la confidencialidad directa.


Aunque los investigadores no se pusieron en contacto directo con Fastly, el problema se había puesto en conocimiento de Fastly con anterioridad, y esta vulnerabilidad se abordó el viernes 11 de noviembre. No se requiere ninguna acción por parte del cliente para beneficiarse de la corrección.




Impacto


Antes de la corrección, en el improbable caso de que una clave de Fastly TLS se hubiera visto comprometida, un atacante podría haber descifrado tanto el tráfico de usuario en tiempo real como cualquier tráfico recopilado previamente entre los clientes y los nodos del edge de Fastly que utilizara la clave comprometida.




Soluciones provisionales o permanentes


El viernes 11 de noviembre, Fastly implementó rotaciones de vales de sesión frecuentes en toda la CDN pública de Fastly. A partir de esa fecha, todos los clientes gozan de una sólida confidencialidad directa y la vulnerabilidad se ha corregido.




Más información


Los vales de sesión TLS son un método de reanudación de sesiones TLS descrito con más detalle en la RFC 5077. Los servidores TLS lo utilizan para reanudar las sesiones y evitar mantener los estados de sesión por cliente; para ello, encapsulan el estado de la sesión en un vale y lo reenvían a un cliente, que entonces puede utilizar el vale para reanudar la sesión.


El artículo «Measuring the Security Harm of TLS Crypto Shortcuts» se presentó el 14 de noviembre de 2016 en la conferencia ACM Internet Measurement Conference.

Suscríbete a las advertencias de seguridad.

Al enviar la solicitud, das tu consentimiento para que tus datos se envíen a Fastly en los Estados Unidos y sean tratados conforme a nuestra Política de privacidad.

¿List@ para empezar?

Ponte en contacto o crea una cuenta.