Google Chrome desconfía de Symantec tras la emisión indebida de 30.000 certificados

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Google ha anunciado sus planes de castigar a Symantec por sus certificados no confiables, debido a que esta última ha sido pillada emitiendo de forma indebida 30.000 certificados de Validación Extendida (EV, Extended Validation) en los últimos años.

El estado de Validación Extendida de todos los certificados emitidos por las autoridades de Symantec ya no será reconocido por Google Chrome durante al menos un año, hasta que la compañía de seguridad informática corrija los errores (según Google) en la emisión de sus certificados con el fin de que puedan ser de nuevo confiables. El movimiento de considerar los certificados de Symantec como no confiables en Google Chrome procede de Ryan Sleevi, un ingeniero que forma parte del equipo tras el desarrollo del conocido navegador web.

Los certificados de Validación Extendida ofrecen supuestamente el nivel más alto de confianza y autenticación. Antes de ser emitidos, la autoridad certificadora tiene que verificar si las peticiones de las entidades son legales en existencia e identidad. Una de las partes más importantes del ecosistema de SSL es la confianza, si una autoridad certificadora no verifica correctamente la existencia e identidad legal de una entidad antes de emitir los certificados de Validación Extendida para sus dominios, la credibilidad de esos certificados podría verse comprometida.

El equipo de Google empezó la investigación el pasado 19 de enero y encontró que las políticas de emisión de certificados de Symantec en los últimos años era deshonesta y podría amenazar la integridad del sistema TLS, el cual es utilizado para autenticar y asegurar los datos de conexiones en Internet.

Viendo la situación, Google ha propuesto seguir los siguientes pasos como castigo a Symantec:

  1. Los certificados de Validación Extendida emitidos por Symantec serán devaluados a certificados de dominios validados menos seguros. Esto significa que Google Chrome dejará de mostrar el nombre del dominio validado en la barra de direcciones durante un periodo de un año.
  2. Para minimizar los riegos de una mayor emisión indebida de certificados, los nuevos certificados que se vayan a emitir tienen que tener períodos de validez no superiores a 9 meses para ser confiables en Google Chrome.
  3. Google propone una desconfianza incremental, disminuyendo gradualmente el tiempo máximo de funcionamiento de los certificados de Symantec en las distintas versiones de Google Chrome, requiriendo de volver a emitir y validar los certificados una vez superado el periodo de tiempo establecido por Google.

Este sería el calendario que aplicaría el equipo de Google Chrome a los certificados de Symantec:

  • Chrome 59 (Dev, Beta, Stable): 33 meses de validez (1023 días).
  • Chrome 60 (Dev, Beta, Stable): 27 meses de validez (837 días).
  • Chrome 61 (Dev, Beta, Stable): 21 meses de validez (651 días).
  • Chrome 62 (Dev, Beta, Stable): 15 meses de validez (465 días).
  • Chrome 63 (Dev, Beta): 9 meses de validez (279 días).
  • Chrome 63 (Stable): 15 meses de validez (465 días).
  • Chrome 64 (Dev, Beta, Stable): 9 meses de validez (279 días).

Esto significa que Google Chrome solo confiará en los certificados con hasta nueve meses de validez (279 días) a partir de Chrome 64 en todos los canales de desarrollo. Además, el gigante de Mountain View espera que los desarrolladores web sean conscientes de los riesgos que entrañan los certificados de Symantec.

La reacción de Symantec

La compañía de seguridad informática y autoridad certificadora ha respondido a Google diciendo que su reacción ha sido “exagerada y engañosa.”

Además de irresponsable, Symantec ha acusado al gigante del buscador de tener especial fijación sobre ella, debido a que “mientras que todas las grandes autoridades certificadoras han tenido eventos de mala emisión de certificados, Google ha señalado solo a la autoridad certificadora Symantec en su propuesta, incluso habiendo identificado eventos de mala emisión de otras autoridades certificadoras en la publicación del blog de Google.”

Veremos cómo acaba este conflicto entre Google y la entidad certificadora, porque el asunto podría traer cola.

Fuente:http://muyseguridad.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone