Google anuncia el apocalipsis para los Certificados SSL de Symantec

-

Google anuncia el apocalipsis para los Certificados SSL de Symantec



Google va a desconfiar de todos los certificados SSL de Symantec existentes comenzando con octubre del 2018, y Symantec tendrá que reconstruir toda su infraestructura de emisión de certificados de cero si quiere permanecer como (Autoridad certificadora) en el negocio CA.
Este es el fallo definitivo de una investigación tras las prácticas de emisión SSL de Symantec iniciadas por los ingenieros de Google y Mozilla.

Los investigadores descubrieron que el año pasado Symantec rompió reglas de la industria acordadas por el CA / B Forum, la autoridad que regula los procedimientos de expedición de los certificados SSL que se utilizan para apoyar el tráfico HTTPS cifrado.
Symantec castigado por emitir de forma errónea 30.000 certificados SSL
En marzo de 2017, Los ingenieros de Google y Mozilla encontraron que Symantec emitió de forma errónea 127 certificados SSL, pero a medida que la investigación avanzaba esta estimación inicial creció a una cifra enorme de más de 30.000 CERTIFICADOS.
El número sorprendió a expertos de la industria. Debido a que Symantec fue el más grande de la CA en el mercado, pocos se atrevían a reaccionar.
 El primero en mostrar su descontento con los procedimientos de emisión SSL de Symantec fue Google, que a los pocos días después del descubrimiento anunciado su intención de eliminar gradualmente el apoyo a los certificados de Symantec en Chrome.
Aunque Mozilla, Microsoft o Apple nunca hablaron del tema, que también estaban descontentos con la CA, permitieron a Google encabezar la investigación, que se prolongó durante meses.
Symantec negó y negó las acusaciones, llamando a los resultados "exagerados y engañosos." No obstante, la compañía se vio entre la espada y la pared, con el tiempo llegó a la mesa de negociación.

El resultado es complicado, Google puede decir que prohibió a Symantec, mientras Symantec puede continuar emitiendo certificados SSL bajo su nombre, pero con mucho control e innumerables procesos de validaciones a los clientes de forma reiteradas.
A continuación, se muestra un desglose de lo que sucederá en el transcurso de los próximos meses.
Fase Uno - Symantec se convierte en un SubCA
01 de diciembre 2017- Symantec se asociará con otra CA que emitirá certificados SSL en nombre de Symantec. Symantec va a ser efectiva, en términos técnicos, una autoridad de certificación subordinada (SubCA).
Este paso es crucial en la supervivencia de Symantec como autoridad de certificación válida porque permitirá la emisión de nuevos certificados SSL en un futuro próximo, manteniendo sus clientes con muchas validaciones reiteradas.
Google también está satisfecho de que Symantec se convierte en una SubCA debido a la CA que toma bajo su ala Symantec será responsable de la emisión de certificados SSL. Google y otros proveedores de navegadores esperan que, al descargar el proceso de emisión de SSL en la infraestructura de otra CA, se evitará que Symantec vuelva a romper las reglas y la emisión de certificados para los sitios de forma errónea.
Mientras tanto, Symantec no obstante ha comenzado a explorar la idea de vender su negocio de CA, Por lo que existe la posibilidad de que podemos ver el  paso de Symantec en la puesta del sol.
Los damnificados en un 100% son los clientes de Symantec, ellos pasaran por validaciones reiteradas y solo podrán mantener sus certificados si otra C.A los aprueba, es complicado ya que para que confiaremos en una C.A que ni siquiera la industria confía en sus validaciones, es entendible que quieran vender su negocio.
Fase 2 - desconfianza parcial de los CERTIFICADOS de Symantec en Chrome
La segunda etapa se iniciará cuando Google lanza Chrome 66 (estimado de abril de 2018). A partir de esta versión, Chrome mostrará errores de certificado SSL para todos los certificados emitidos por Symantec a partir del 1 junio 2016.
En el año 2018, la mayoría de estos certificados habría expirado, y esto es sólo una "prueba de la desconfianza" por lo que Google y Symantec pueden tener una idea de lo que ocurrirá durante la fase 3.
Fase 3 - desconfianza completa de los CERT de Symantec en Chrome
Con el lanzamiento de Chrome 70 (estimado de octubre de 2018), Chrome mostrará errores para todos los sitios web con certificados SSL de Symantec.
En esta fase es donde la mayoría de los certificados SSL de Symantec se extinguirán, similar a un apocalipsis SSL para Symantec, una empresa que, según estadísticas proporciona uno de cada seis certificados SSL desplegados actualmente en línea.
propietarios de sitios web y otros desarrolladores que utilizan certificados SSL de Symantec dentro de su aplicación, tendrán que llegar a Symantec para obtener un nuevo certificado SSL (emitida a través de la SubCA), o llegar a otro proveedor de CA por completo.
GeoTrust, Thawte certificados, y también afectaron RapidSSL
Google eliminará certificado SSL raíz de Symantec. Los certificados SSL son como los árboles gigantes con un sinnúmero de ramas, y todos convergen hasta el certificado raíz. Una vez que se elimina este certificado, todos los certificados adjuntos a esta raíz dejarán de funcionar también.
Google será el responsable de la eliminación del certificado raíz actual de Symantec, pero Google ha dejado la puerta abierta a Symantec para presentar un nuevo certificado raíz para su aprobación en el próximo futuro.
Además, debido a que Symantec compró otras CA como en GeoTrust, Thawte y RapidSSL, los certificados raíz de esas antiguas empresas se han añadido a la raíz Symantec. Los certificados emitidos bajo estas tres entidades emisoras van a sufrir el mismo destino que los certificados y usuarios nativos SSL de Symantec, tendrán que solicitar otras nuevas.
Hasta que Symantec renueve sus procedimientos de emisión SSL y con un sistema que sea más seguro y fiable, es muy poco probable que Google permitirá un nuevo certificado raíz de Symantec en Chrome. Mientras tanto, la opción SubCA permite a Symantec para seguir apoyando a su marca, incluso si el certificado raíz de otra persona.
El año pasado, Google ha decidido no confiar en los certificados de WoSign y StartCom en una decisión similar.
Lo que nos lleva a pensar que si Symantec no mejora sus prácticas podrá sufrir el mismo destino que estas empresas.


Comentarios

Publicar un comentario

Entradas más populares de este blog

estrategia de comunicación digital

-
Imagen
¿Se ha completado su estrategia de comunicación digital? Atrás han quedado los días en que los medios convencionales, tales como mensajes, teléfono, y correo electrónico que solía ser el modo principal de comunicación. Con los tiempos y los avances en la tecnología cambia en una escala macro, los medios digitales ha tomado las empresas. Por lo tanto, para contrarrestar la competencia salvaje y para mantenerse por delante de los demás, es para usted una estrategia de comunicación digital eficiente y eficaz está en su lugar. Vamos a comenzar con la comunicación digital ¿por qué? Es el elemento clave para la adquisición y retención de clientes y es igualmente esencial para sostener un negocio en crecimiento. Por ahí cuando todo el mundo tiene más o menos el mismo producto o servicio a ofrecer, se convierte en importante para tocar la base con el conjunto adecuado de las perspectivas de una manera rápida, oportuna y atractiva. Se puede hacer sólo cuando hay una estrat...
Leer más

Todo comienza con el primer acceso

-
Imagen
Todo comienza con el primer acceso SSO para Clientes. Single Sign-On (SSO) es algo que funciona de maravilla, pero incluye mucho más de lo que parece. Aquí, voy a tratar de compartir algo de luz sobre la tecnología ... SSO es la (pieza compleja de) la tecnología que le permite navegar por Internet de un sitio a otro ya través de un poco de “magia” que no tiene que volver a autenticarse al entrar en el segundo servicio. Cuando funciona, usted es una persona feliz. Hay algunos temas subyacentes para ayudarle a entender de lo que hay bajo el capó del SSO. La autenticación y el nivel de seguridad (LOA) Todo comienza con el primer acceso. En aras de la simplicidad supongamos que ya se ha registrado a la primera aplicación. Dependiendo del nivel de confidencialidad de la información o recursos que está intentando acceder, es necesario utilizar la autenticación adecuada para la primera aplicación. La autenticación puede ser tan simple como la determin...
Leer más

Identidad y Acceso (AIM)

-
Imagen
¿AIM simple lujo o necesidad? Los servicios de identidad les permiten a las organizaciones implementar servicios electrónicos seguros, manejar identidades de empleados e identidades empresariales, y automatizar las implementaciones PKI para móviles, usuarios y maquinas. ¿Cuantas veces te ha ocurrido que más de una vez te a has olvidado de una o más de una de las claves corporativas que ocupas a diario? ¿Aburrido de tener que ingresar los datos de autenticación cada vez que se conecta a un servicio en su organización? ¿Los usuarios llaman seguido a soporte para recuperar sus contraseñas? Hoy en día muchas empresas mal gastan sus recursos y retrasan muchos procesos por el simple hecho de no contar con un sistema AIM, las soluciones buscan autenticar a un usuario en varias aplicaciones en Internet sin la necesidad de que lo hagan más de una vez agilizando procesos corporativos. Los datos de acceso son interceptados a través de un Proxy (AIM), de un componente en el servidor ...
Leer más