Chrome rechazar谩 los certificados TLS de Symantec existentes

Google ha perdido definitivamente la confianza en Symantec y anuncia medidas que afectar谩n a un gran n煤mero de sitios, aunque no con efecto inmediato.

Google ha concluido una investigaci贸n de lo que consider贸 incumplimiento a gran escala de las reglas de la industria de la seguridad, por parte de Symantec, en relaci贸n con la emisi贸n de certificados es SSL/TLS. Estos certificados son utilizados, entre otras cosas, para la transmisi贸n cifrada de contenidos de sitios web mediante el protocolo HTTPS. En total, la empresa habr铆a emitido m谩s de 30.000 certificados que no cumplen con la normativa.

Symantec es probablemente el mayor emisor mundial de tales certificados de seguridad, al considerar el total de empresas emisoras que con el paso de los a帽os se han fusionado con Symantec, incluyendo GeoTrust, Thawte, Verisign y RapidSSL.

Ya en marzo de este a帽o, Google anunci贸 medidas contra Symantec, incluyendo sus planes de suprimir gradualmente el soporte para los certificados SSL/TLS de esta empresa. Las investigaciones de Google habr铆an continuado hasta ahora y en el intertanto Symantec, que calific贸 las medidas de Google de irresponsables, acept贸 conversar y negociar.

A partir del 1 de diciembre, Symantec dejar谩 de ser una autoridad emisora de certificados, o CA (Certificate Authority), para convertirse en SubCA (Subordinate Certificate Authority). Esto implica que, aunque Symantec continuar谩 siendo proveedor de certificados, la responsabilidad de emisi贸n recaer谩 en otra empresa. La medida es el resultado de las negociaciones, que Symantec tambi茅n sostuvo paralelamente con Mozilla.

Para que Symantec pueda recuperar su condici贸n de CA, la empresa deber谩 reestructurar su negocio de emisi贸n de certificados, con base en una nueva infraestructura.

Para los clientes de la empresa, que actualmente utilicen sus certificados SSL/TLS, la situaci贸n no tiene consecuencias inmediatas. Sin embargo, Google ha presentado planes que podr铆an tener implicaciones a mediano plazo para un gran n煤mero de clientes de Symantec.

El 28 de julio, Darin Fisher, ingeniero de Google, anunciaba en este grupo de discusi贸n que Chrome 66, que seg煤n los planes ser谩 distribuido a partir del 17/04/2018, no aceptar谩 certificados emitidos por Symantec antes del 01/06/2016. En otras palabras, Los certificados que sean emitidos mediante la infraestructura actual de Symantec despu茅s del 1 de diciembre, ser谩n rechazados por el navegador de Google.

Para el lanzamiento de Chrome 70, programado para octubre de 2018, el navegador tampoco aceptar谩 los certificados emitidos por Symantec con su infraestructura actual en el per铆odo comprendido entre el 01/06/2016 y el 01/12/2017.

Lo anterior implica que los sitios que tengan certificados emitidos por Symantec antes del 01/12/2017, deber谩n sustituirlos por certificados que no hayan sido firmados mediante la actual infraestructura de Symantec. Google recomienda que la sustituci贸n ocurra antes del 15/03/2018.

Fotograf铆a (c) Ken Wolter v铆a Shutterstock

Symantec rebate a Google: 鈥淐omentario irresponsable sobre nuestros certificados SSL/TLS鈥

Project Zero de Google detecta graves vulnerabilidades en productos de Symantec


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.