Los certificados TLS son los que se
encargan de proteger nuestro tráfico en Internet, cifrando los datos de extremo
a extremo y evitando que estos puedan ser interceptados y modificados en
ataques MITM. Las entidades emisoras de certificados, o CA, son las
responsables de generar estos certificados y, además, de comprobar y garantizar
que el sitio que usa dicho certificado es auténtico y no está suplantado por
piratas informáticos. Las autoridades CA tienen que cumplir con unos estrictos
procesos de validación que garanticen su identidad, algo que, por ejemplo,
Symantec no ha cumplido y le ha hecho perder su título de CA.
En enero de este mismo año, Google
empezó a investigar una serie de irregularidades en el proceso de validación de
los certificados emitidos por Symantec. Lo que en un principio parecía un caso
“aislado” de “solo” 127 certificados, a finales de marzo el número de
certificados mal validados y, por lo tanto, incorrectos e inseguros asciende a
más de 30.000.
Como ya dijimos, Google va a ir
suprimiendo relativamente la validez de los certificados de la compañía. Las
páginas web que tengan un certificado emitido por Symantec tendrán que
solicitar uno nuevo para no convertirse en una web “potencialmente peligrosa”
cuando Google Chrome, y el resto de navegadores web, empiecen a rechazar estos
certificados. Además, las negligencias de Symantec han sido tan graves que
Google, Mozilla y otras organizaciones han decidido que esta perderá su título
de CA y ya no podrá emitir certificados, al menos, hasta que solucione sus
graves problemas de seguridad en el proceso de verificación de estos.
Symantec dejará de
ser una CA para convertirse en una SubCA
A partir del próximo 1 de diciembre,
Symantec perderá su título de autoridad certificadora, o CA, y sus certificados
se empezarán a controlar y a ir reduciendo su validez hasta que, a mediados de
2018, concretamente con la llegada de Google Chrome 70, todos ellos dejarán de
tener validez.
Tras la investigación que ha llevado a
cabo Google, Symantec ha perdido el título de autoridad certificadora, aunque
esto no significa que vaya a dejar de emitir certificados. Ahora, la compañía
se va a convertir, a partir de diciembre de este año, en un proveedor de
certificados digitales, o SubCA, aunque la emisión de los mismos tendrá que
correr por parte de otra empresa, por el momento, desconocida.
Si Symantec quiere volver a funcionar
como una CA, la compañía tendrá que implementar una nueva infraestructura
completa para reestructurar su negocio y poder seguir trabajando como tal,
acorde a las medidas de seguridad y los procesos de verificación adecuados para
verificar la identidad de las webs que implementan sus certificados.
Fuente: Diarioit