8 jul 2017

Google Chrome bloqueará certificados emitidos por WoSign y StartCom

Siguiendo el mismo camino ya iniciado con Symantec, el martillo de Google Chrome caerá sobre WoSign y StartCom, las principales CAs Chinas, en dos meses.
En dos meses Google concluirá su prolongada ex-comunión de las autoridades de certificación WoSign -y su filial StartCom- por supuesta mala conducta, un castigo que ya había anunciado en octubre pasado. WoSign afirma ser uno de los mayores proveedores de certificados digitales en China.

El ingeniero de seguridad de Chrome Devon O'Brien, en una publicación de Google Groups, dijo que "El año pasado Google comenzó a limitar su confianza de certificados emitidos por estas compañías con los certificados emitidos antes del 21 de octubre de 2016 y, en las sucesivas versiones de Chrome, y sólo mantenía una lista blanca de algunos de ellos. A partir de Chrome 61, la lista blanca se eliminará, lo que resultará en una total desconfianza de los actuales certificados raíz de WoSign y StartCom y de todos los certificados que hayan emitido. Basado en este calendario, este cambio debería ser visible en el canal Dev de Chrome en las próximas semanas, el canal de Chrome Beta a finales de julio de 2017, y se publicará en Stable a mediados de septiembre de 2017."

En agosto pasado Google informó que WoSign emitió un certificado para un dominio GitHub sin autorización. La investigación posterior descubrió que WoSign había manipulado certificados para permitir que los clientes continuaran usando SHA-1, el cual es considerado inseguro. También concluyó que WoSign había ocultado su adquisición de StartCom y había llevado sus prácticas dudosas a la firma israelí.

En consecuencia, Apple, Mozilla y Google anunciaron planes para dejar de confiar en los certificados de WoSign y StartCom, con el fin de minimizar las interrupciones a aquellos con sitios web que todavía utilizan los certificados "condenados". El informe de Mozilla de su investigación indica que los problemas con WoSign datan por lo menos a principios de 2015.

Por ahora un representante de atención de StartCom dijo que "Estamos trabajando en ello, estamos en el último paso y necesitamos pasar algunas auditorías". En septiembre, si no es así, los visitantes de sitios HTTPS con certificados WoSign o StartCom comenzarán a ver advertencias en sus navegadores, consejos que tienden a limitar el tráfico y los ingresos publicitarios.

O'Brien aconsejó a los sitios que todavía usaban certificados emitidos por WoSign o StartCom "considerar la posibilidad de reemplazar estos certificados con urgencia para minimizar la interrupción para los usuarios de Chrome". 

Fuente: The Register

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!