Google Chrome anuncia sus planes para eliminar gradualmente la confianza en los certificados SSL de Symantec viejos y su intención de reducir el período de validez de los certificados
La decisión de Google viene después de la finalización de una investigación que se inició el 19 de enero, y que descubrió varios problemas con el proceso de emisión de certificados de Symantec.
Los ingenieros dijeron que inicialmente analizados 127 eventos de misissuance certificado, pero después de cavar más profundo en los registros de Symantec descubrieron "al menos 30.000 certificados emitidos, durante un período de varios años."
Los investigadores también señalan que Symantec no ha garantizado la validación del dominio adecuadamente, lo que significa que llevaron a algunos pasos para verificar la identidad de la persona que solicita un certificado SSL para un dominio específico.
Por otra parte, Google dice que el personal de Symantec no pudo auditar sus propios registros para la evidencia del pasado emisión no autorizada, ni su intento de solucionar este proceso defectuoso mediante la introducción de mejores procedimientos.
En septiembre el año 2015, Google también descubrió que Symantec emite certificados SSL para Google.com sin autorización. Symantec culpó del incidente a tres empleados deshonestos, que más tarde despidio.
Los resultados de esta investigación, junto con el incidente de 2015, fue más que Google estaba dispuesto a aceptar.
A pesar de la posición dominante de Symantec en el mercado de certificados SSL, Google planea reducir la confianza de su navegador Chrome pone en certs Symantec.
Para empezar, a partir de Chrome 61, Google planea limitar el período de validez de los certificados SSL aceptado Symantec de nueva emisión a nueve meses.
En términos sencillos, esto significa que si el dueño de un sitio web adquiere un nuevo certificado SSL de Symantec, Chrome sólo reconocerá como válido para sólo nueve meses, sin tener en cuenta si otros navegadores confiar en ella durante tres, cuatro o más años.
Por otra parte, los certificados SSL de Symantec emitidos actualmente tendrán su confianza reducida gradualmente en futuras versiones de Chrome, de la siguiente manera: Chrome 59 (Dev, Beta, Estable) 33 meses de validez (1023 días), Chrome 60 (Dev, Beta, Stable) 27 meses de validez (837 días), Chrome 61 (Dev, Beta, Estable) 21 meses de validez (651 días ), Chrome 62 (Dev, Beta, Estable) 15 meses de validez (465 días), Chrome 63 (Dev, Beta) 9 meses de validez (279 días), Chrome 63 (Estable) 15 meses de validez (465 días), Chrome 64 (Dev , Beta, Estable) 9 meses de validez (279 días).
Este movimiento de Google obligará a todos los propietarios de certificados de Symantec mayores a solicitar una nueva. Google espera que en ese momento, Symantec habría renovado su infraestructura y será siguiendo las normas acordadas por todos los otros fabricantes de CAS y el navegador.
"Mediante la combinación de estos dos pasos, podemos asegurar que el nivel de seguridad en los certificados emitidos por Symantec es capaz de igualar lo que se espera por parte de Google Chrome y el ecosistema, y que los riesgos planteados tanto desde misissuance pasado futuro y posible se reducen en la mayor como sea posible ", segun Google.
Google también planea despojar a los certificados de Symantec de Extended Validation (EV) de estado "immeditealy eficaz", durante al menos un año, "hasta que Symantec es capaz de demostrar el nivel de cumplimiento sostenido necesario conceder tal confianza."
Los certificados EV HTTPS soportan múltiples nombres de dominio y la obtención de un certificado de este tipo requiere pasar a través de numerosos pasos. Sobre la base de su investigación, Google no confía en Symantec para cumplir con este proceso de verificación longwinded más.
Google también informó a otros fabricantes de navegadores como Apple, Microsoft y Mozilla acerca de sus planes, pero ninguno ha respondido con sus propias decisiones hasta el momento.
De acuerdo con los datos de Mozilla, Symantec representa el 42% de las validaciones de certificados en el mercado. Symantec también ha adquirido otras CA, que ahora son parte de sus certificados raíz. La lista incluye marcas como VeriSign, GeoTrust, Equifax, Thawte, TrustCenter, y otros.
Fecha actualización el 2017-7-2. Fecha publicación el 2017-3-24. Categoría: Google. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer