Chrome rechazará los certificados TLS de Symantec existentes

 

tografía (c) Ken Wolter vía Shutterstock

Google ha perdido definitivamente la confianza en Symantec y anuncia medidas que afectarán a un gran número de sitios, aunque no con efecto inmediato

Google ha concluido una investigación de lo que consideró incumplimiento a gran escala de las reglas de la industria de la seguridad, por parte de Symantec, en relación con la emisión de certificados es SSL/TLS. Estos certificados son utilizados, entre otras cosas, para la transmisión cifrada de contenidos de sitios web mediante el protocolo HTTPS. En total, la empresa habría emitido más de 30.000 certificados que no cumplen con la normativa.

Symantec es probablemente el mayor emisor mundial de tales certificados de seguridad, al considerar el total de empresas emisoras que con el paso de los años se han fusionado con Symantec, incluyendo GeoTrust, Thawte, Verisign y RapidSSL.

Ya en marzo de este año, Google anunció medidas contra Symantec, incluyendo sus planes de suprimir gradualmente el soporte para los certificados SSL/TLS de esta empresa. Las investigaciones de Google habrían continuado hasta ahora y en el intertanto Symantec, que calificó las medidas de Google de irresponsables, aceptó conversar y negociar.

A partir del 1 de diciembre, Symantec dejará de ser una autoridad emisora de certificados, o CA (Certificate Authority), para convertirse en SubCA (Subordinate Certificate Authority). Esto implica que, aunque Symantec continuará siendo proveedor de certificados, la responsabilidad de emisión recaerá en otra empresa. La medida es el resultado de las negociaciones, que Symantec también sostuvo paralelamente con Mozilla.

Para que Symantec pueda recuperar su condición de CA, la empresa deberá reestructurar su negocio de emisión de certificados, con base en una nueva infraestructura.

Para los clientes de la empresa, que actualmente utilicen sus certificados SSL/TLS, la situación no tiene consecuencias inmediatas. Sin embargo, Google ha presentado planes que podrían tener implicaciones a mediano plazo para un gran número de clientes de Symantec.

El 28 de julio, Darin Fisher, ingeniero de Google, anunciaba en este grupo de discusión que Chrome 66, que según los planes será distribuido a partir del 17/04/2018, no aceptará certificados emitidos por Symantec antes del 01/06/2016. En otras palabras, Los certificados que sean emitidos mediante la infraestructura actual de Symantec después del 1 de diciembre, serán rechazados por el navegador de Google.

Para el lanzamiento de Chrome 70, programado para octubre de 2018, el navegador tampoco aceptará los certificados emitidos por Symantec con su infraestructura actual en el período comprendido entre el 01/06/2016 y el 01/12/2017.

Lo anterior implica que los sitios que tengan certificados emitidos por Symantec antes del 01/12/2017, deberán sustituirlos por certificados que no hayan sido firmados mediante la actual infraestructura de Symantec. Google recomienda que la sustitución ocurra antes del 15/03/2018.

 

Ver información original al respecto en Fuente

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies