A partir de la
próxima actualización del navegador de Google, programada para abril, Chrome
comenzará a advertir a los usuarios que visiten sitios HTTPS que contengan
certificados TLS emitidos por Symantec.
La medida fue
anunciada por Google en agosto de 2017, luego de una investigación de lo que
consideró “incumplimiento a gran escala de las reglas de la industria de la
seguridad, por parte de Symantec”, en relación con la emisión de sus
certificados SSL/TLS. Estos certificados son utilizados, entre otras cosas,
para la transmisión cifrada de contenidos de sitios web mediante el protocolo HTTPS.
En total, la empresa habría emitido más de 30.000 certificados que no cumplen
con la normativa.
Symantec, que
calificó la reacción de Google de exageradas e irresponsables, dejó de ser una
autoridad emisora de certificados, o CA (Certificate Authority), para
convertirse en SubCA (Subordinate Certificate Authority). Esto implica que,
aunque Symantec continúa siendo proveedor de certificados, la responsabilidad
de emisión fue trasladada a otra empresa, DigiCert, el 1 de diciembre de 2017.
Con ello, los certificados
emitidos por DigiCert son considerados parte de “la nueva infraestructura”,
mientras que los emitidos anteriormente por Symantec forman parte de la
“infraestructura antigua”, en la que Google perdió la confianza. Por lo tanto,
la próxima versión de Chrome, que lleva el numeral 66, respetará los
certificados de la nueva infraestructura, mientras que aquellos emitidos por
Symantec con anterioridad al 01/06/2016 y con posterioridad al 01/12/2017,
generarán una advertencia de seguridad por parte del navegador.
La versión final de
66 de Chrome será distribuida a partir del 17 de abril. A partir de la versión
70, programada para el 23 de octubre, ningún certificado TLS de Symantec será
considerado seguro.
Refiriéndose al tema,
la publicación The Register menciona un script creado por un experto en
seguridad informática identificado como Arkadiy Tetelman, que detecta los
sitios con certificados TLS que Chrome calificará de inseguros partir de la
versión 66. Tetelman, quien se presenta como empleado Airbnb, coincide con los
puntos de vista de Symantec, en el sentido que la reacción de Google es
exagerada. El experto ha elaborado una lista con 11.510 dominios afectados,
disponible en su blog en formato zip. La lista fue elaborada luego de escanear
la lista del millón de sitios más populares del mundo según Alexa.
Tetelman publicó además el código de
su script en GitHub desde (https://github.com/arkadiyt/symantec-certificate-checker
)
Fuente: diarioti.com