9 oct. 2018

Chrome 70: mueren HTTP y los certificados de Symantec

En una semana, Google debería lanzar Google Chrome 70, la nueva actualización de su navegador web que llegará con algunas novedades, como mejor privacidad para las extensiones, dejará de iniciar sesión en el navegador al entrar en webs de Google automáticamente y cambiará los avisos de las webs HTTP y HTTPS. Sin embargo, esta nueva versión también va a hacer que cientos de páginas web dejen de funcionar con normalidad, y es que, con ella, también ha llegado la fecha de revocación de los certificados de Symantec.
El 19 de enero de 2017, Google empezó a investigar varios errores en el proceso de validación de los certificados digitales de Symantec, la que en aquel entonces era una de las CA más conocidas, utilizadas y, en teoría, fiables a la hora de generar y emitir certificados digitales. Google demostraba que Symantec había estado actuando negligentemente en la validación de más de 30.000 certificados digitales, lo que finalmente le ha costado su título de CA.

En marzo de 2017, Google aseguró que estaba empezando a estudiar cómo abordar la revocación de estos certificados mal emitidos que podían suponer un riesgo para la seguridad y privacidad de los usuarios. Aunque Google ya tenía en mente acabar con estos certificados de cara a la segunda mitad de 2018, finalmente ya sabemos cuándo ocurrirá esto: en una semana.

Las webs con los certificados inválidos de Symantec dejarán de funcionar en Google Chrome 70

A partir de la próxima semana, cuando Google Chrome 70 vea la luz del día y empiece a llegar a todos los usuarios, las páginas web que aún utilizan certificados de Symantec (que, aunque no lo parezca, aún se cuentan por cientos) dejarán de cargar correctamente en el navegador, mostrando un error de seguridad en el certificado que seguro que termina echando para atrás a la mayoría de los usuarios.

Además de los propios certificados de Symantec, también se van a revocar los certificados de otras entidades que tenían relación con ella, como los emitidos por Thawte, VeriSign, Equifax, GeoTrust y RapidSSL.

Estas páginas han tenido más de un año para cambiar sus certificados, sin embargo, aún hay webs de gran prestigio, como PayPal, que no lo han hecho.

Las dos mejores alternativas que tenemos hoy en día para montar nuestros propios certificados son, por un lado, utilizar un CDN como CloudFlare que, con un clic, nos permite instalar un certificado HTTPS en nuestra web de forma totalmente gratuita y, por otro lado, emitir nuestros propios certificados digitales a través de Let’s Encrypt, una de las plataformas que, sin duda, ha revolucionado Internet y que ya ha emitido más de 380 millones de certificados gratuitos.

Fuente: Techcrunch

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!