Este es el fallo definitivo de una investigación tras las prácticas de emisión SSL de Symantec iniciadas por los ingenieros de Google y Mozilla. Los investigadores descubrieron que el año pasado Symantec rompió reglas de la industria acordadas por el CA / B Forum, la autoridad que regula los procedimientos de expedición de los certificados SSL que se utilizan para apoyar el tráfico HTTPS cifrado. Symantec castigado por emitir de forma errónea 30.000 certificados SSL En marzo de 2017 los ingenieros de Google y Mozilla encontraron que Symantec emitió de forma errónea 127 certificados SSL, pero a medida que la investigación avanzaba esta estimación inicial creció a una cifra enorme de más de 30.000 certificados. El número sorprendió a expertos de la industria debido a que Symantec fue una de las AC más importantes del planeta, motivo por el cual pocos se atrevían a reaccionar. El primero en mostrar su descontento con los procedimientos de emisión SSL de Symantec fue Google, que a los pocos días después del descubrimiento anunciado su intención de eliminar gradualmente el apoyo a los certificados de Symantec en Chrome. Aunque Mozilla, Microsoft o Apple nunca hablaron del tema, también estaban descontentos con la AC, y permitieron a Google encabezar la investigación, que se prolongó durante meses. Symantec negó las acusaciones, llamando a los resultados "exagerados y engañosos." No obstante, la compañía se vio entre la espada y la pared, con el tiempo llegó a la mesa de negociación. El resultado es complicado, Google puede decir que prohibió a Symantec, mientras Symantec puede continuar emitiendo certificados SSL bajo su nombre, pero con mucho control e innumerables procesos de validaciones a los clientes de forma reiteradas. A continuación, se muestra un desglose de lo que sucederá en el transcurso de los próximos meses. Fase Uno – Symantec se convierte en un SubCA 01 de diciembre 2017– Symantec se asociará con otra CA que emitirá certificados SSL en nombre de Symantec. Symantec va a ser efectiva, en términos técnicos, una autoridad de certificación subordinada (SubCA). Este paso es crucial en la supervivencia de Symantec como autoridad de certificación válida porque permitirá la emisión de nuevos certificados SSL en un futuro próximo, manteniendo sus clientes con muchas validaciones reiteradas. Google también está satisfecho de que Symantec se convierte en una SubCA debido a la CA que toma bajo su ala Symantec será responsable de la emisión de certificados SSL. Google y otros proveedores de navegadores esperan que, al descargar el proceso de emisión de SSL en la infraestructura de otra CA, se evitará que Symantec vuelva a romper las reglas y la emisión de certificados para los sitios de forma errónea. Mientras tanto, Symantec no obstante ha comenzado a explorar la idea de vender su negocio de CA, Por lo que existe la posibilidad de que podemos ver el paso de Symantec en la puesta del sol. Los damnificados en un 100% son los clientes de Symantec, ellos pasaran por validaciones reiteradas y solo podrán mantener sus certificados si otra C.A los aprueba, es complicado ya que para que confiaremos en una C.A que ni siquiera la industria confía en sus validaciones, es entendible que quieran vender su negocio. Fase 2 – desconfianza parcial de los CERTIFICADOS de Symantec en Chrome La segunda etapa se iniciará cuando Google lanza Chrome 66 (estimado de abril de 2018). A partir de esta versión, Chrome mostrará errores de certificado SSL para todos los certificados emitidos por Symantec a partir del 1 junio 2016. En el año 2018, la mayoría de estos certificados habría expirado, y esto es sólo una "prueba de la desconfianza" por lo que Google y Symantec pueden tener una idea de lo que ocurrirá durante la fase 3. Fase 3 – desconfianza completa de los CERT de Symantec en Chrome Con el lanzamiento de Chrome 70 (estimado de octubre de 2018), Chrome mostrará errores para todos los sitios web con certificados SSL de Symantec. En esta fase es donde la mayoría de los certificados SSL de Symantec se extinguirán, similar a un apocalipsis SSL para Symantec, una empresa que, según estadísticas proporciona uno de cada seis certificados SSL desplegados actualmente en línea. propietarios de sitios web y otros desarrolladores que utilizan certificados SSL de Symantec dentro de su aplicación, tendrán que llegar a Symantec para obtener un nuevo certificado SSL (emitida a través de la SubCA), o llegar a otro proveedor de CA por completo. GeoTrust, Thawte y RapidSSL también afectadas. Google eliminará el certificado SSL raíz de Symantec. Los certificados SSL son como los árboles gigantes con un sinnúmero de ramas, y todos convergen hasta el certificado raíz. Una vez que se elimina este certificado, todos los certificados adjuntos a esta raíz dejarán de funcionar también. Google será el responsable de la eliminación del certificado raíz actual de Symantec, pero Google ha dejado la puerta abierta a Symantec para presentar un nuevo certificado raíz para su aprobación en el próximo futuro. Además, debido a que Symantec compró otras CA como en GeoTrust, Thawte y RapidSSL, los certificados raíz de esas antiguas empresas se han añadido a la raíz Symantec. Los certificados emitidos bajo estas tres entidades emisoras van a sufrir el mismo destino que los certificados y usuarios nativos SSL de Symantec, tendrán que solicitar otras nuevas. Hasta que Symantec renueve sus procedimientos de emisión SSL y con un sistema que sea más seguro y fiable, es muy poco probable que Google permitirá un nuevo certificado raíz de Symantec en Chrome. Mientras tanto, la opción SubCA permite a Symantec para seguir apoyando a su marca, incluso si el certificado raíz de otra persona. El año pasado, Google ha decidido no confiar en los certificados de WoSign y StartCom en una decisión similar. Lo que nos lleva a pensar que si Symantec no mejora sus prácticas podrá sufrir el mismo destino que estas empresas. |
No hay comentarios.