Google sancionará a los certificados de Symantec por malas prácticas

-



Google sancionará a los certificados de Symantec por malas prácticas


El pasado 23 de marzo Google anunció que ha dejado de confiar en el proceso aplicado por Symantec para validar y emitir sus certificados TLS/SSL, utilizados por un gran número de sitios web en todo el mundo, por lo que anunció una serie de medidas.  La decisión ha sido adoptada por Google después de una investigación realizada en los últimos dos meses, donde se reveló que Symantec y sus empresas asociadas o subsidiarias habrían emitido incorrectamente al menos 30.000 certificados, incluidos algunos para el dominio google.com sin la aprobación de esta compañía. Entre tales Autoridades Certificadoras se encuentran Thawte, VeriSign, Geotrust y Equifax.

Indudablemente, esta situación tendrá consecuencias para Symantec y para sus clientes. En los planes presentados por Google se mencionan algunas medidas que la empresa planea instaurar con el fin de proteger la seguridad de los usuarios de Chrome.

  • Chrome dejará de aceptar nuevos certificados emitidos por Symantec con fecha de caducidad superior a los 9 meses, con el fin de evitar el daño que puedan causar nuevos certificados emitidos de manera incorrecta.
  • Reducción gradual de la validez aceptada por Chrome para los certificados, en caso que éstos hayan sido emitidos por Symantec o alguna de sus subsidiarias.

Actualmente es posible comprar certificados válidos por tres años. Sin embargo, a partir de Chrome 59, que debería llegar en junio próximo, el navegador no aceptará certificados de Symantec con data anterior a 33 meses.
Para cada una de las versiones subsiguientes de Chrome, excepto las 63, la máxima data aceptada se reducirá en tres meses a la vez, hasta que a partir de Chrome 64 sólo se aceptarán certificados de Symantec con una vigencia máxima de nueve meses.

Google posee como objetivo reducir el impacto en los sitios afectados. La empresa recomienda a los usuarios de certificados de Symantec renovar los mismos con el fin de evitar que los visitantes de sus sitios web sean alertados por una notificación de error.

  • La tercera medida y la cual remeció aún más a la industria es que Google dejará de aceptar el estatus de Extended Validation (EV) de los certificados de Symantec. 

Esta medida será instaurada inmediatamente después que Google adopte una resolución definitiva al respecto. EV agrega el nombre de la empresa antes del candado de SSL y el prefijo https.
La causa de que Google deje de reconocer el elemento EV de los certificados de Symantec es que a su juicio, el control aplicado por Symantec no cumple con el proceso de validación necesario para obtener tal estatus. Esta exclusión por parte de Google tendrá una validez de al menos un año, en caso de ser aplicada.

Symantec, junto a las subsidiarias y socios mencionados es indudablemente uno de los mayores emisores de certificados TLS. Aunque no hay cifras oficiales, Google estima que Symantec representa alrededor del 30% de los certificados válidos emitidos en 2015.

El anuncio de Google tiene precedentes. Anteriormente, la empresa y otros proveedores de navegadores han suspendido, incluso con efecto inmediato, el soporte para certificados raíz de varios proveedores. En algunos casos, estos han emitido certificados incorrectos deliberadamente.

Google manifiesta inseguridad respecto de la estrategia a seguir por los demás proveedores de navegadores. La empresa escribe que Apple y Microsoft no dan a conocer sus decisiones antes de ejecutarlas. Mozilla, que suele realizar discusiones y debates públicos, aún no se ha pronunciado frente al tema.


¿Cómo pueden los usuarios saber si un sitio web cuenta con la seguridad necesaria?

Estas son algunas de las recomendaciones más básicas que podemos ayudar en concientizar y aprender a trabajar y confiar en un sitio web seguro.

La barra de dirección en color verde si el sitio visitado es con el nombre de la empresa en verde, estamos frente un mayor nivel de control de seguridad, llamado Extended Validación. Es la forma más fácil de confiar en un sitio web y una manera muy visible de identificarlo.( al con EV del Grupo Symantec no será visible)

Candado en la parte izquierda de la barra del navegador. Si no hay un candado, o el símbolo es “roto”, los visitantes sabrán que la compañía no utiliza SSL. En ese caso, si quieres saber más sobre el tipo de certificado adjunto a una página web, haga clic en la pequeña cerradura y aparecerá una ventana emergente que proporciona información acerca de la compañía asociada con el sitio web.
Encontrará un sello de una entidad de certificación SSL, por lo general en la parte inferior de la página web. Las imágenes personalizadas están disponibles, pero la mayoría contienen un candado, “sello de seguridad”, y otros sellos indicando seguridad.
La dirección URL comienza con “https” para indicar que está conectado a través de un servidor seguro. Protocolo de transferencia de hipertexto (HTTP) es un sistema para la transmisión de datos en la web, y la “s” al final es el indicador de seguridad. HTTP era la norma antes de que los sitios web comenzaran a transmitir información confidencial (como datos de tarjetas de crédito).
Adicionalmente les contaremos como es el proceso de certificación para que puedan aprender que no todas las empresas califican para ser certificadas y esta acción solamente busca entregar más seguridad al usuario final.

Ventajas de certificación SSL.

Aumenta la seguridad de tu negocio ya que la información privada que vaya de un ordenador a otro se encuentra cifrada.
Aumenta la confianza de tus clientes, los certificados ssl hacen ver a la empresa que pueden depositar sin problemas de posibles robos sus datos ya que van a ser cifrados.
Aumenta el número de ventas gracias a la confianza, a mayor confianza, mayor número de ventas; la repetición y la boca a boca de lo seguro que es te ayudarán a subir las cifras de ventas.
Certificas la personalidad de tu empresa ya que demuestras que eres tú, hecho difícil ante el gran número de webs phishing que existen.
Legitimas tu web porque consigues que una entidad independiente te dé el visto bueno.
Eliminas malware de tu web, ya que los certificados ssl escanean el sitio buscando programas dañinos.
Aumenta el tráfico de tu web, porque sin virus la página se posiciona orgánicamente mejor en Google, consiguiendo más visitas sin pagar ni un solo peso.
Evitas que los usuarios se vayan cuando van a comprar y tienen que introducir claves privadas, ya que está demostrado que las personas salen del sitio cuando tienen que poner datos privados si no están seguros de que va a haber seguridad.
No da problemas con los navegadores, ya que funciona perfectamente con el 99 % de los navegadores.
Conviertes Internet en una red más segura, porque la seguridad la formamos todos, y si tu web es insegura la incertidumbre entre los usuarios es mayor. Por el contrario, si hay más seguridad, el comercio electrónico aumentará, beneficiando a todo el mundo.

Para terminar, informo que Seguridad America lleva más de 5 años como líder en seguridad SSL con más del 58% del mercado EV y cuenta con especialistas en seguridad con hasta 10 años de experiencia en el mercado, confié en uno de ellos antes de tomar alguna decisión que definirá el éxito de su sitio web.

Si necesita de mayor información de cómo entregar seguridad adicional o sobre SSL, consulte con los ingenieros de Seguridad America o con sus expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com
Graciela Gonzalez











 Fuentes: 
 https://groups.google.com/a/chromium.org/forum/m/#!msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ  
http://www.bbc.com/news/technology-39365315
http://blog.segu-info.com.ar/2017/03/google-bajara-la-confianza-de-los.html
https://diarioti.com/google-considera-tomar-serias-medidas-contra-symantec-por-emision-erronea-de-certificados-tls/103718


Comentarios

Publicar un comentario

Entradas más populares de este blog

estrategia de comunicación digital

-
Imagen
¿Se ha completado su estrategia de comunicación digital? Atrás han quedado los días en que los medios convencionales, tales como mensajes, teléfono, y correo electrónico que solía ser el modo principal de comunicación. Con los tiempos y los avances en la tecnología cambia en una escala macro, los medios digitales ha tomado las empresas. Por lo tanto, para contrarrestar la competencia salvaje y para mantenerse por delante de los demás, es para usted una estrategia de comunicación digital eficiente y eficaz está en su lugar. Vamos a comenzar con la comunicación digital ¿por qué? Es el elemento clave para la adquisición y retención de clientes y es igualmente esencial para sostener un negocio en crecimiento. Por ahí cuando todo el mundo tiene más o menos el mismo producto o servicio a ofrecer, se convierte en importante para tocar la base con el conjunto adecuado de las perspectivas de una manera rápida, oportuna y atractiva. Se puede hacer sólo cuando hay una estrat...
Leer más

Todo comienza con el primer acceso

-
Imagen
Todo comienza con el primer acceso SSO para Clientes. Single Sign-On (SSO) es algo que funciona de maravilla, pero incluye mucho más de lo que parece. Aquí, voy a tratar de compartir algo de luz sobre la tecnología ... SSO es la (pieza compleja de) la tecnología que le permite navegar por Internet de un sitio a otro ya través de un poco de “magia” que no tiene que volver a autenticarse al entrar en el segundo servicio. Cuando funciona, usted es una persona feliz. Hay algunos temas subyacentes para ayudarle a entender de lo que hay bajo el capó del SSO. La autenticación y el nivel de seguridad (LOA) Todo comienza con el primer acceso. En aras de la simplicidad supongamos que ya se ha registrado a la primera aplicación. Dependiendo del nivel de confidencialidad de la información o recursos que está intentando acceder, es necesario utilizar la autenticación adecuada para la primera aplicación. La autenticación puede ser tan simple como la determin...
Leer más

Identidad y Acceso (AIM)

-
Imagen
¿AIM simple lujo o necesidad? Los servicios de identidad les permiten a las organizaciones implementar servicios electrónicos seguros, manejar identidades de empleados e identidades empresariales, y automatizar las implementaciones PKI para móviles, usuarios y maquinas. ¿Cuantas veces te ha ocurrido que más de una vez te a has olvidado de una o más de una de las claves corporativas que ocupas a diario? ¿Aburrido de tener que ingresar los datos de autenticación cada vez que se conecta a un servicio en su organización? ¿Los usuarios llaman seguido a soporte para recuperar sus contraseñas? Hoy en día muchas empresas mal gastan sus recursos y retrasan muchos procesos por el simple hecho de no contar con un sistema AIM, las soluciones buscan autenticar a un usuario en varias aplicaciones en Internet sin la necesidad de que lo hagan más de una vez agilizando procesos corporativos. Los datos de acceso son interceptados a través de un Proxy (AIM), de un componente en el servidor ...
Leer más