Google Chrome dejará de aceptar
certificados EV emitidos por la red de socios o subsidiarias de Symantec. La
consecuencia es que un gran número de sitios web deberán conseguir nuevos
certificados TLS.
El equipo Chrome de Google anunció el
23 de marzo que ha dejado de tener confianza en el proceso aplicado por
Symantec para la emisión de certificados TLS, utilizados por un gran número de
sitios web en todo el mundo, por lo que anuncia una serie de medidas. La decisión ha sido adoptada por Google
después de una investigación realizada en los dos últimos meses, donde se
reveló que Symantec y sus empresas asociadas o subsidiarias habrían emitido
incorrectamente al menos 30.000 certificados. Entre tales empresas figuran
Thawte, Verisign, Geotrust y Equifax.
Indudablemente, esta situación tendrá
consecuencias para Symantec y para sus clientes. En los planes presentados por
Google se mencionan tres medidas que la empresa planea instaurar con el fin de
proteger la seguridad de los usuarios de Chrome.
La primera medida es que Chrome dejará
de aceptar nuevos certificados emitidos por Symantec con fecha de caducidad
superior a los nueve meses. La intención de Google sería evitar el daño que
puedan causar nuevos certificados emitidos de manera incorrecta.
La segunda medida implica una
reducción gradual de la validez aceptada por Chrome para los certificados, en
caso que éstos hayan sido emitidos por Symantec o alguna de sus subsidiarias.
Actualmente es posible comprar
certificados válidos por tres años. Sin embargo, a partir de Chrome 59, que
según el plan será lanzado el 6 de junio próximo, el navegador no aceptará
certificados de Symantec con data anterior a 33 meses. Para cada una de las
versiones subsiguientes de Chrome, excepto las 63, la máxima data aceptada para
los certificados será reducida en tres meses a la vez, hasta que a partir de
Chrome 64 sólo se aceptarán certificados de Symantec con una vigencia máxima de
nueve meses.
El objetivo de Google sería reducir el
impacto en los sitios afectados. La empresa recomienda a los usuarios de certificados de Symantec renovar
los mismos con el fin de evitar que los visitantes a su sitio web sean
recibidos por una notificación de error.
La tercera medida es la que las
mayores consecuencias reviste, debido a que Google dejará de aceptar el estatus
de Extended Validation (EV) de los certificados de Symantec. Esta medida será
instaurada inmediatamente después que Google adopte una resolución definitiva
al respecto. EV agrega el nombre de la empresa antes del candado de SSL y el
prefijo https.La causa de que Google deje de reconocer el elemento EV de los
certificados de Symantec es que a su juicio, el control aplicado por Symantec
no cumple con el proceso de validación necesario para obtener tal estatus. Esta
exclusión por parte de Google tendrá una validez de al menos un año, en caso de
ser aplicada.
Symantec, junto a las subsidiarias y
socios mencionados es indudablemente uno de los mayores emisores de
certificados TLS. Aunque no hay cifras oficiales, Google estima que Symantec
representa alrededor del 30% de los certificados válidos emitidos en 2015.
El anuncio de Google tiene
precedentes. Anteriormente, la empresa y otros proveedores de navegadores han
suspendido, incluso con efecto inmediato, el soporte para certificados raíz de
varios proveedores. En algunos casos, estos han emitido certificados
incorrectos deliberadamente.
Google manifiesta inseguridad respecto
de la estrategia a seguir por los demás proveedores de navegadores. La empresa
escribe que Apple y Microsoft no dan a conocer sus decisiones antes de
ejecutarlas. Mozilla, que suele realizar discusiones y debates públicos, aún no
se ha pronunciado frente al tema.
Fuente: Diarioti.com