Google considera tomar serias medidas contra Symantec por emisi贸n err贸nea de certificados TLS

Google Chrome dejar谩 de aceptar certificados EV emitidos por la red de socios o subsidiarias de Symantec. La consecuencia es que un gran n煤mero de sitios web deber谩n conseguir nuevos certificados TLS.

El equipo Chrome de Google anunci贸 el 23 de marzo que ha dejado de tener confianza en el proceso aplicado por Symantec para la emisi贸n de certificados TLS, utilizados por un gran n煤mero de sitios web en todo el mundo, por lo que anuncia una serie de medidas.聽聽La decisi贸n ha sido adoptada por Google despu茅s de una investigaci贸n realizada en los dos 煤ltimos meses, donde se revel贸 que Symantec y sus empresas asociadas o subsidiarias habr铆an emitido incorrectamente al menos 30.000 certificados. Entre tales empresas figuran Thawte, Verisign, Geotrust y Equifax.

Indudablemente, esta situaci贸n tendr谩 consecuencias para Symantec y para sus clientes. En los planes presentados por Google se mencionan tres medidas que la empresa planea instaurar con el fin de proteger la seguridad de los usuarios de Chrome.

La primera medida es que Chrome dejar谩 de aceptar nuevos certificados emitidos por Symantec con fecha de caducidad superior a los nueve meses. La intenci贸n de Google ser铆a evitar el da帽o que puedan causar nuevos certificados emitidos de manera incorrecta.

La segunda medida implica una reducci贸n gradual de la validez aceptada por Chrome para los certificados, en caso que 茅stos hayan sido emitidos por Symantec o alguna de sus subsidiarias.

Actualmente es posible comprar certificados v谩lidos por tres a帽os. Sin embargo, a partir de Chrome 59, que seg煤n el plan ser谩 lanzado el 6 de junio pr贸ximo, el navegador no aceptar谩 certificados de Symantec con data anterior a 33 meses. Para cada una de las versiones subsiguientes de Chrome, excepto las 63, la m谩xima data aceptada para los certificados ser谩 reducida en tres meses a la vez, hasta que a partir de Chrome 64 s贸lo se aceptar谩n certificados de Symantec con una vigencia m谩xima de nueve meses.

El objetivo de Google ser铆a reducir el impacto en los sitios afectados. La empresa recomienda聽 a los聽usuarios de certificados de Symantec renovar los聽mismos con el fin de evitar que los visitantes a su sitio web sean recibidos por una notificaci贸n de error.

La tercera medida es la que las mayores consecuencias reviste, debido a que Google dejar谩 de aceptar el estatus de Extended Validation (EV) de los certificados de Symantec. Esta medida ser谩 instaurada聽inmediatamente despu茅s que聽Google adopte una resoluci贸n definitiva al respecto. EV agrega el nombre de la empresa antes del candado de SSL y el prefijo聽https.La causa de que Google deje de reconocer el elemento EV de los certificados de Symantec es que a su juicio, el control aplicado por Symantec聽no cumple con el聽proceso de validaci贸n necesario para obtener tal estatus. Esta exclusi贸n por parte de Google tendr谩 una validez de al menos un a帽o, en caso de ser aplicada.

Symantec, junto a las subsidiarias y socios mencionados es indudablemente uno de los mayores emisores de certificados TLS. Aunque no hay cifras oficiales, Google estima que Symantec representa alrededor del 30% de los certificados v谩lidos emitidos en 2015.

El anuncio de Google tiene precedentes. Anteriormente, la empresa y otros proveedores de navegadores han suspendido, incluso con efecto inmediato, el soporte para certificados ra铆z de varios proveedores. En algunos casos, estos han emitido certificados incorrectos deliberadamente.

Google manifiesta inseguridad respecto de la estrategia a seguir por los dem谩s proveedores de navegadores. La empresa escribe que Apple y Microsoft no dan a conocer sus decisiones antes de ejecutarlas. Mozilla, que suele realizar discusiones y debates p煤blicos, a煤n no se ha pronunciado frente al tema.

Fotograf铆a (c) Ken Wolter v铆a Shutterstock

Google y Mozilla bloquean certificados SSL falsos procedentes de NIC China

Crean lista negra de certificados SSL malignos


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.