miércoles, 29 de marzo de 2017

Google dejar de confiar en los certificados emitidos por la empresa Symante o alguna de sus subsidiarias

Google dejara de confiar en los certificados emitidos por la empresa Symantec o alguna de sus subsidiarias 




Después del último incidente de emisión de certificados fraudulentos, Google señala que ha perdido la confianza en Symantec una autoridad de certificación (CA).
Sin embargo, Google alerta que muchos de los certificados emitidos por Symantec son incorrectos ya que tienen una antigüedad tan elevada que no permiten confirmar si efectivamente son seguros o no. Un plan propuesto es obligar a la compañía a reemplazar todos los certificados de sus clientes y dejar de reconocer el estado de validación extendida (EV) de aquellos que lo tienen.
Según Google, esta investigación cuestiona la validez de al menos 30,000 certificados emitidos por los socios de Symantec durante varios años. Sin embargo, Symantec disputa este número.
Así funciona la certificación
El proceso de emisión y administración de certificados se rige por las reglas creadas por CA / B Forum, una organización cuyos miembros incluyen proveedores de navegadores y autoridades de certificación. Cuando se violan estas reglas, los proveedores de navegadores y sistemas operativos pueden revocar la confianza en los certificados infractores y sancionar a las autoridades de certificación responsables, llegando incluso a expulsarlos.
Según Google, una investigación sobre un incidente reciente indica que Symantec no ha mantenido las prácticas de seguridad esperadas de las autoridades de certificación, como la validación del control de dominio, la auditoría de los registros de evidencia de emisión no autorizada y la reducción de la capacidad de emisión de certificados fraudulentos.


Google se pone en práctica con su plan, millones de certificados de Symantec existentes no serán de confianza durante los próximos 12 meses en Google Chrome. Esto pondrá una enorme presión sobre Symantec poniendo en tela de juicio su confianza.
Además, Symantec podría tener que reembolsar a los clientes que pagaron por certificados EV que ya no se reconozcan como tales en Chrome, ya que su valor se reduciría significativamente.
Es seguro decir que las sanciones de Google podrían tener un impacto significativo en el negocio SSL de Symantec, ya que es probable que la compañía pierda clientes que no estarán dispuestos a soportar estas restricciones y llevarán su negocio a una autoridad de certificación diferente.
Los vendedores de navegadores han castigado antes a las CA por emitir de manera fraudulenta certificados o equivocarse en el lenguaje de la industria, pero nunca en esta escala y con un impacto tan grande en el ecosistema y confiabilidad de sus usuarios.

 ¿Cómo pueden los usuarios saber si un sitio web cuenta con la seguridad necesaria?

Las operaciones más comunes son las de compras y pago, correo electrónico, transferencia de datos y el protocolo de inicio de sesión. Los usuarios necesitan saber que los datos están seguros y protegerlos contra el acceso no autorizado. Este es el gran dilema del universo llamado internet, especialmente antes de realizar alguna de estas operaciones en línea.
Estas son algunas de las recomendaciones más básicas que podemos ayudar en concientizar y aprender a trabajar y confiar en un sitio web seguro.
La barra de dirección en color verde si el sitio visitado es con el nombre de la empresa en verde, estamos frente un mayor nivel de control de seguridad, llamado Extended Validación. Es la forma más fácil de confiar en un sitio web y una manera muy visible de identificarlo.
Candado en la parte izquierda de la barra del navegador. Si no hay un candado, o el símbolo es “roto”, los visitantes sabrán que la compañía no utiliza SSL. En ese caso, si quieres saber más sobre el tipo de certificado adjunto a una página web, haga clic en la pequeña cerradura y aparecerá una ventana emergente que proporciona información acerca de la compañía asociada con el sitio web.
Encontrará un sello de una entidad de certificación SSL, por lo general en la parte inferior de la página web. Las imágenes personalizadas están disponibles, pero la mayoría contienen un candado, “sello de seguridad”, y otros sellos indicando seguridad.
La dirección URL comienza con “https” para indicar que está conectado a través de un servidor seguro. Protocolo de transferencia de hipertexto (HTTP) es un sistema para la transmisión de datos en la web, y la “s” al final es el indicador de seguridad. HTTP era la norma antes de que los sitios web comenzaran a transmitir información confidencial (como datos de tarjetas de crédito).
Adicionalmente les contaremos como es el proceso de certificación para que puedan aprender que no todas las empresas califican para ser certificadas y esta acción solamente busca entregar más seguridad al usuario final.

¿Cómo es el proceso de certificación?

Independientemente del tipo de certificado que se compra, hay dos partes en el proceso de validación que va a suceder, en diversos grados, cada vez que se hace un pedido.
Validación de la empresa: Hay varias partes en el proceso de validación de su empresa. En primer lugar, se verifica que la empresa que solicita un certificado de buena reputación. Esto puede incluir la confirmación de la buena situación y la inscripción en los registros de activos corporativos, así como el fraude, phishing, y las entidades del gobierno limitado y bases de datos contra el terrorismo.

Además, se constata que la organización solicitante de un certificado es, de hecho, la organización a la que el título vaya a serlo. Esto es especialmente cierto con certificados SSL con Extended Validation (EV), Que requieren una serie de verificaciones de identidad amplia.

Validación de dominio: El objetivo de este proceso de validación de dominio es asegurarse de que la persona que solicita un certificado, de hecho, tienen la autoridad para solicitar un certificado para el dominio en cuestión.
La validación de dominio puede incluir correos electrónicos o llamadas de teléfono a la lista de contactos en un dominio de whois record, Así como mensajes de correo electrónico a los valores de las direcciones administrativas en el dominio. Por ejemplo, podríamos enviar un correo electrónico de autorización de administrator@domain.com o webmaster@domain.com, pero no tech@domain.com. En los casos en que se controla un dominio por una parte que no sea la parte que solicita un certificado, los métodos simples están en su lugar para completar rápidamente el proceso de obtener la aprobación para emitir un certificado del propietario del dominio.

Ventajas de certificación SSL.
Aumenta la seguridad de tu negocio ya que la información privada que vaya de un ordenador a otro se encuentra encripatada
Aumenta la confianza de tus clientes en ti, los certificados ssl hacen ver a la empresa que pueden depositar sin problemas de posibles robos sus datos ya que van a ser cifrados
Aumenta el número de ventas gracias a la confianza, a mayor confianza, mayor número de ventas; la repetición y el boca a boca de lo seguro que es te ayudarán a subir las cifras de ventas
Certificas la personalidad de tu empresa ya que demuestras que eres tú, hecho difícil ante el gran número de webs phishing que existen
Legitimas tu web porque consigues que una entidad independiente te dé el visto bueno
Eliminas malware de tu web, ya que los certificados ssl escanean el sitio buscando programas dañinos
Aumenta el tráfico de tu web, porque sin virus la página se posiciona orgánicamente mejor en Google, consiguiendo más visitas sin pagar ni un solo peso
Evitas que los usuarios se vayan cuando van a comprar y tienen que introducir claves privadas, ya que está demostrado que las personas salen del sitio cuando tienen que poner datos privados si no están seguros de que va a haber seguridad
No da problemas con los navegadores, ya que funciona perfectamente con el 99 % de los navegadores
Conviertes Internet en una red más segura, porque la seguridad la formamos todos, y si tu web es insegura la incertidumbre entre los usuarios es mayor. Por el contrario, si hay más seguridad, el comercio electrónico aumentará, beneficiando a todo el mundo.

¿Listo para hacer el cambio a HTTPS?

En definitiva, tener la confianza del cliente para que realice compras o se subscriba a tu sitio necesitarás una certificación SSL, el dinero es una inversión más que deberás valorar. Si pides a tu potencial cliente elegir entre una empresa que cuenta con certificación SSL y otra que no lo está certificada ¿por qué elegiría una que expone su información personal?


 Para terminar, informo que Seguridad America lleva más de 5 años como líder en seguridad SSL con más del 58% del mercado EV y cuenta con especialistas en seguridad con hasta 10 años de experiencia en el mercado, confié en uno de ellos antes de tomar alguna decisión que definirá el éxito de su sitio web.

Si necesita de mayor información de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com













Fuente: https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs%5B1-25%5D

No hay comentarios.:

Publicar un comentario

Populares