2 ago. 2017

Cambios de Symantec en su condición de CA para los navegadores

Google ha concluido una investigación de lo que consideró incumplimiento a gran escala de las reglas de la industria de la seguridad, por parte de SYMANTEC (y todas sus marcas), en relación con la emisión de certificados es SSL/TLS. Estos certificados son utilizados, entre otras cosas, para la transmisión cifrada de contenidos de sitios web mediante el protocolo HTTPS. En total, la empresa habría emitido más de 30.000 certificados que no cumplen con la normativa.

Symantec es probablemente el mayor emisor mundial de tales certificados de seguridad, al considerar el total de empresas emisoras que con el paso de los años se han fusionado con Symantec, incluyendo GeoTrust, Thawte, Verisign y RapidSSL.

Ya en marzo de este año, Google anunció medidas contra Symantec, incluyendo sus planes de suprimir gradualmente el soporte para los certificados SSL/TLS de esta empresa. Las investigaciones de Google habrían continuado hasta ahora y en el intertanto Symantec, que calificó las medidas de Google de irresponsables, aceptó conversar y negociar.

A partir del 1 de diciembre, Symantec dejará de ser una autoridad emisora de certificados, o CA (Certificate Authority), para convertirse en SubCA (Subordinate Certificate Authority). Esto implica que, aunque Symantec continuará siendo proveedor de certificados, la responsabilidad de emisión recaerá en otra empresa. La medida es el resultado de las negociaciones, que Symantec también sostuvo paralelamente con Mozilla.

Para que Symantec pueda recuperar su condición de CA, la empresa deberá reestructurar su negocio de emisión de certificados, con base en una nueva infraestructura.

Para los clientes de la empresa, que actualmente utilicen sus certificados SSL/TLS, la situación no tiene consecuencias inmediatas. Sin embargo, Google ha presentado planes que podrían tener implicaciones a mediano plazo para un gran número de clientes de Symantec.

El 28 de julio, Darin Fisher, ingeniero de Google, anunciaba en este grupo de discusión que Chrome 66, que según los planes será distribuido a partir del 17/04/2018, no aceptará certificados emitidos por Symantec antes del 01/06/2016. En otras palabras, Los certificados que sean emitidos mediante la infraestructura actual de Symantec después del 1 de diciembre, serán rechazados por el navegador de Google.
Para el lanzamiento de Chrome 70, programado para octubre de 2018, el navegador tampoco aceptará los certificados emitidos por Symantec con su infraestructura actual en el período comprendido entre el 01/06/2016 y el 01/12/2017.

Lo anterior implica que los sitios que tengan certificados emitidos por Symantec antes del 01/12/2017, deberán sustituirlos por certificados que no hayan sido firmados mediante la actual infraestructura de Symantec. Google recomienda que la sustitución ocurra antes del 15/03/2018.

Fuente: DiarioTI

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!