Chrome mostrará una advertencia de página completa cuando los usuarios accedan a un sitio web HTTPS que esté utilizando un certificado SSL que no haya sido registrado en un registro público de Transparencia de Certificado CT.
Al hacerlo, Chrome se convierte en el primer navegador en implementar compatibilidad con la Política de registro de transparencia de certificados . Otros fabricantes de navegadores también han aceptado apoyar este mecanismo en el futuro, aunque no han proporcionado más detalles.
Esta nueva política fue propuesta por primera vez por los ingenieros de Google en 2016, y estaba programada para entrar en vigencia en octubre de 2017, pero luego se pospuso para 2018.
Las CA deben registrar todos los certificados SSL recién emitidos
La política de registro de CT dicta que las Autoridades de certificación (CA), las organizaciones que emiten certificados SSL para admitir conexiones HTTPS- deben publicar registros con todos los certificados SSL que han emitido cada día.
Estos registros deben ser públicos, por lo que los creadores de navegadores, las CA asociadas o los investigadores independientes pueden investigar libremente las instancias de certificados mal publicados en cualquier momento.
Las CA siempre han conservado los registros de los certificados que emitieron, pero estos eran privados y solo se pusieron a disposición de los fabricantes de navegadores cuando estaban investigando instancias de emisión errónea de certificados.
La mayoría de las CA ya están publicando registros de CT
Con una participación de mercado de más del 60 por ciento, la mayoría de las CA vio la escritura en la pared y comenzó a publicar registros públicos de CT a partir del año pasado cuando se hizo evidente que Google estaba listo para implementar esta nueva política en Chrome.
"Chrome requerirá que todos los certificados de servidor TLS emitidos después del 30 de abril de 2018 cumplan con la política de Chromium CT", escribió el ingeniero de Google Devon O'Brien en un debate de Google Groups a principios de este año cuando anunció la nueva fecha límite.
"Después de esta fecha, cuando Chrome se conecta a un sitio que sirve un certificado de confianza pública que no cumple con la política de Chromium CT, los usuarios comenzarán a ver un intersticial de página completa que indica que su conexión no es compatible con TC", agregó O'Brien. "Los sub-recursos servidos a través de conexiones HTTPS que no son compatibles con CT no se cargarán y mostrarán un error en Chrome DevTools".
Estos cambios se han implementado primero en las plataformas de escritorio de Chrome, que incluyen Chrome para ChromeOS, Linux, macOS y Windows.
Los ingenieros de Google también han agregado un indicador de política de Chrome que permite a los administradores del sistema deshabilitar el comportamiento de comprobación de registros de CT en casos en que Chrome se implementa dentro de una intranet.
La nueva política de CT no es retroactiva
La nueva política de CT no es retroactiva. Esto significa que los certificados anteriores emitidos antes de hoy que no se han registrado en un registro CT continuarán funcionando.
Pero si una CA ha emitido un nuevo certificado SSL a partir de hoy y no lo ha registrado en un registro público de CT, Chrome mostrará un error.
La buena noticia es que muchas CA han comenzado a registrar certificados en registros públicos y a compartir datos entre ellos. Merkle Town (operado por CloudFlare) y Crt.sh (operado por Comodo) son dos sitios web que agregan registros de CT.
Dichas herramientas han sido instrumentales a principios de este año cuando un usuario notó que la CA controlada por el gobierno sudcoreano había emitido un certificado SSL para todo el dominio de nivel superior * .go.kr, lo que permite a su operador interceptar el tráfico de todos los sitios web que usan ese TLD.
Ese descubrimiento fue realizado por un investigador de seguridad independiente, y con los registros públicos de CT ahora convirtiéndose en un estándar de facto, esperamos que más casos como este aparezcan en el futuro.
Fecha actualización el 2021-05-01. Fecha publicación el 2018-05-01. Categoría: chrome. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer