Los desarrolladores del navegador Google Chrome han
anunciado un plan para eliminar gradualmente la confianza y la reemisión de los antiguos certificados SSL de Symantec, la cancelación del estado EV y la reducción de la validez de los futuros certificados a ≤9 meses. Este es el resultado de una investigación de incidentes con certificados emitidos sin el permiso de los propietarios y las prácticas actuales en la empresa.
La investigación de Google duró dos meses, de enero a marzo de 2017. Cuanto más duró, más preguntas surgieron para Symantec y revelaron violaciones en la emisión de certificados. La
historia de 2015 , cuando Symantec emitió arbitrariamente un certificado para los dominios de Google, Opera y varias otras organizaciones, aún no se ha borrado.
Luego, Symantec explicó sus acciones de la siguiente manera: “Se emitió incorrectamente un pequeño número de certificados de prueba para uso interno durante la prueba. Todos estos certificados y claves de prueba estuvieron bajo nuestro control todo el tiempo y se revocaron de inmediato cuando nos enteramos del problema. No hubo impacto en ningún dominio ni peligro para Internet ". Los empleados que violaron las políticas y cometieron el incidente fueron despedidos.
Sin embargo, la
auditoría reveló 187 certificados para dominios existentes emitidos sin el conocimiento de los propietarios, y 2458 certificados para dominios inexistentes.
Después de ese incidente, quedó claro que Symantec era muy malo en seguridad. Google exigió que tomara una serie de medidas, incluido el respaldo de todos los nuevos certificados con el marco de
Transparencia de certificados , la realización de una auditoría adicional, la publicación de un informe de incidentes y la contratación de auditores independientes.
Ha pasado poco más de un año desde el último incidente, y ahora Google volvió a la autoridad de certificación culpable de Symantec para verificar su cumplimiento con la
Política de certificados raíz en el navegador Chrome.
Desde el principio, quedó claro que las cosas en la empresa no habían mejorado mucho. Al comienzo de la investigación, se consideró un conjunto inicial de 127 certificados, pero a la luz de las violaciones reveladas, se amplió a 30,000 piezas emitidas durante varios años.
Google formuló los resultados de la investigación de la siguiente manera: “Ya no confiamos en las reglas y prácticas para emitir certificados de Symantec en los últimos años. Para restaurar la confianza y seguridad de nuestros usuarios, ofrecemos los siguientes pasos:
- Reduzca el período de validez reconocido de los certificados de Symantec recién emitidos a nueve meses o menos para minimizar cualquier impacto en los usuarios de Google Chrome de cualquier otra emisión incorrecta que pueda ocurrir.
- Una denegación gradual de confianza que abarca varias ediciones de Google Chrome para todos los certificados de Symantec emitidos anteriormente que requieren confirmación y reemplazo.
- Negarse a reconocer el estado de EV (Validación Extendida) para certificados emitidos por Symantec, hasta que la comunidad esté segura de las reglas y prácticas de Symantec, pero no antes de 1 año ".
Se propone que la reducción gradual en el período de validez reconocido de los certificados de Symantec recién emitidos se implemente de la siguiente manera:
- Chrome 59 (Dev, Beta, Estable): 33 meses (1023 días)
- Chrome 60 (Dev, Beta, Estable): 27 meses (837 días)
- Chrome 61 (Dev, Beta, Estable): 21 meses (651 días)
- Chrome 62 (Dev, Beta, Estable): 15 meses (465 días)
- Chrome 63 (Dev, Beta): 9 meses (279 días)
- Chrome 63 (Estable): 15 meses (465 días): esta versión sale durante las vacaciones de Navidad, cuando muchas empresas tienen un fin de semana
- Chrome 64 (Dev, Beta, Estable): 9 meses (279 días)
Según Google, estas medidas "garantizarán que el nivel de garantía de los certificados de Symantec cumpla con las expectativas de Google Chrome y el ecosistema, y que los riesgos de violaciones pasadas y posibles futuras se minimicen tanto como sea posible".
Debe comprender que Symantec es una de las mayores autoridades de certificación en Internet. Entonces, en enero de 2015, más del 30% de todos los certificados en la Web fueron emitidos precisamente por estos centros. Es cierto que ha habido cambios significativos desde entonces. Ahora el líder es Comodo con 42.7%, mientras que la participación de Symantec se
ha reducido a 15.4% .
ReferenciasCertificados de raíz de Symantec