Chile: Problema de seguridad en sistema del Registro Civil

El Registro Civil del Gobierno de Chile permite realizar trámites en linea, mediante el sitio web http://www.srcei.cl. El problema,es que estan utilizando un certificado inválido, permitiendo que cualquier atacante pueda aprovecharse. Al ingresar a http://www.registrocivil.cl, en una de las opciones del menu, linkea a http://www.srcei.cl dentro de un iframe. En este iframe se muestra la […]

El Registro Civil del Gobierno de Chile permite realizar trámites en linea, mediante el sitio web http://www.srcei.cl. El problema,es que estan utilizando un certificado inválido, permitiendo que cualquier atacante pueda aprovecharse.

IFRAME dentro del sitio web del Registro Civil

Al ingresar a http://www.registrocivil.cl, en una de las opciones del menu, linkea a http://www.srcei.cl dentro de un iframe. En este iframe se muestra la URL https://www.srcei.cl, el cual presenta un certificado válido solo para http://www.registrocivil.cl.

De esta forma, estan obligando al usuario a que acepte el certificado no valido para ese dominio, abriendo las puertas a atacantes que quieran realizar ataques MiTM, el cual permite ver todo el tráfico entre el usuario y el servidor, incluyendo usuarios, claves e información personal.

Probablemente los desarrolladores pensaron que, como el certificado es válido solo para http://www.registrocivil.cl, podrian ahorrarse la compra de otro certificado incrustando este otro dominio dentro de un iframe.