Los certificados emitidos por Symantec, Geotrust y Thawte dejarán de ser confiables en Google Chrome a partir de agosto de 2017
En un esfuerzo para proteger la seguridad de los usuarios de Internet, evitar interrupciones y minimizar la administración,
Comodo junto con Macroseguridad.org ayudarán a todos los clientes de Symantec, Thawte y Geotrust afectados por la inminente decisión de Google Chrome de dejar de confiar progresivamente en dichos
certificados. Ofrecemos nuestra asistencia para evitar problemas en su infraestructura, preservando la continuidad de su negocio. Contáctenos y lo asistiremos.
Buenos Aires, 20 de Julio de 2017
Google anunció, en Marzo del 2017, que iba a penalizar a
Symantec empezando a desconfiar de manera gradual en los certificados SSL emitidos por ellos ya que se descubrió que Symantec emitió 30.000 certificados EV (Extended Validation) de manera
fraudulenta durante los últimos años.
Los certificados EV emitidos por la autoridad certificante Symantec ya no serán reconocidos por Chrome por lo menos durante un año, hasta que Symantec
modifique y corrija sus procesos de emisión de certificados asegurando y garantizando la confiabilidad de los mismos.
Los certificados EV se utilizan para proveer el más alto nivel de autenticación y confianza en internet. Previo a emitir un certificado, la autoridad certificante debe
hacer un control exhaustivo de la existencia legal e identidad de la organización que solicita ese tipo de certificado.
Lo importante de un certificado SSL es la confianza que genera, por esa razón si una autoridad certificante no verifica la existencia legal y la identidad antes de emitir un
certificado EV para un dominio, como lo fue en este caso Symantec (junto con GeoTrust y Thwate), la credibilidad se ve comprometida.
El equipo de Google Chrome comenzó esta investigación el 19 de Enero del 2017 y descubrió problemas en las políticas y prácticas de emisión de Symantec en los últimos años por lo que
tomó la decisión de dejar de confiar en los Certificados emitidos por ellos.
El 12 de mayo, miembros del equipo de Chrome se reunieron con Symantec para discutir acerca de las consideraciones a tener en cuenta sobre la legitimidad de los certificados
que fueron emitidos por Symantec tiempo atrás y de que forma poder solucionar esos problemas. Esta reunión fue una expansión de una propuesta previamente compartida con Symantec en Abril y posteriormente compartida
en la lista de seguridad de Mozilla.
Ryan Sleevi propuso un plan que permita solucionar los problemas de credibilidad de Symantec y a su vez que permita un planeamiento sobre la protección a largo plazo.
Algunos puntos del plan que propone Google sobre Symantec es:
Symantec debe modernizar su plataforma PKI dedicada a la emisión de certificados.
Hasta que la nueva plataforma PKI se encuentre lista y aceptada nuevamente como una autoridad confiable, sus certificados deben ser emitidos por una o varias CA’s de terceras partes (también conocidas como “Managed CAs”)
con las cuales Symantec se asocie.
Los certificados EV pueden ser emitidos por las autoridades certificantes de terceras partes, siempre y cuando cumplan con los requerimientos de validación hasta que Symantec pueda emitir certificados EV nuevamente.
Los certificados emitidos antes del 1 de Junio del 2016 dejarán de ser confiables.
Aunque el plan no es final, el equipo de Google considera que el mismo posee un balance correcto entre garantizar la seguridad de los sitios y mitigar la interrupción de servicios.
Chrome requerirá que para el 8 de Agosto del 2017 todos los certificados emitidos por Symantec sean operados por terceras partes (una “Managed CAs”).
Chrome realizará una verificación el 8 de agosto del 2017, para asegurar que la cadena de certificación contiene una whitelist the certificados intermedios
(autoridades certificantes independientes a Symantec).
Si las “Managed CA” revalidaron de manera completa la información de las empresas, el periodo de validez de los nuevos certificados puede ser el máximo permitido por Chrome
para todas las CAs, especificado tambien por el BR y EV SSL Guidelines del CABForum.
Chrome continuara confiando en los certificados emitidos por Symantec luego del 1 de Enero del 2016, siempre que sean “CT Qualified”
definido por la Chrome CT Policy