Gracias a los certificados TLS, nuestras conexiones son más seguras y quedan protegidas tanto de usuarios no autorizados, que intenten leerlas, como de posibles ataques MITM que busquen hacerse con el control de las mismas. Para que un certificado sea fiable, debe haber sido emitido por una CA de confianza bajo unas reglas muy estrictas ya que, de lo contrario, puede que el certificado no sea tan seguro como parece. Y esto es lo que le ha pasado a Symantec hace medio año.

Symantec es, o mejor dicho, era una de las autoridades CA más grandes en toda la red. Un gran número de plataformas y empresas confiaban en ella para la generación de sus certificados. Sin embargo, en enero de este mismo año, Google empezó a investigar una serie de irregularidades en el proceso de validación de los certificados emitidos por esta CA, descubriendo que lo que en un principio parecía un caso aislado de apenas 127 certificados a día de hoy afecta a más de 30.000 emitidos por Symantec.

Tal como hemos explicado hace varias semanas, Symantec dejará de ser una CA debido a las irregulares detectadas en el proceso de creación de los certificados, irregularidades que hacen que estos sean inseguros y no se pueda confiar en su autenticidad. Además de que la compañía ya no va a poder emitir más nuevos certificados, todos los existentes son peligrosos, y Google ya tiene un plan programado con el que, poco a poco, ir acabando con ellos.

El plan de Google para depreciar los certificados de Symantec

Tal como podemos leer en el blog de seguridad de Google, a partir del 24 de octubre, con la llegada de Google Chrome 62, el navegador empezará a advertir a los usuarios que utilicen las DevTools sobre los peligros de estos certificados, y de los problemas que pueden ocurrir de cara al lanzamiento de Chrome 66.

El próximo 1 de diciembre de 2017 entra en funcionamiento DigiCert como nueva CA asociada de Symantec. Desde esta fecha, empieza una cuenta atrás en lo relacionado a la validez de los certificados emitidos desde la antigua infraestructura de Symantec, cuenta atrás que se dividirá principalmente en dos pasos.

Con la llegada de Google Chrome 66, programada para el 17 de abril de 2018, todos los certificados afectados por las irregularidades de Symantec dejarán de funcionar en el navegador, devolviendo un error de conexión cuando se intenten cargar. Este cambio solo afecta a los certificados de la compañía emitidos después del 1 de junio de 2016, quedando todos aquellos anterior, de momento, seguros.

Por último, con la llegada de Google Chrome 70, el 32 de octubre de 2018, todos los certificados de Symantec que no se hayan actualizado a la nueva infraestructura de DigiCert quedarán inservibles, cerrando finalmente este ciclo que, sin duda, a más de un responsable de Symantec, y, sobre todo, a administradores web que confiaban en esta CA, le habrá levantado dolor de cabeza.

Las conexiones HTTPS son, cada vez, más imprescindibles. Por suerte, gracias a plataformas como Let’s Encrypt o CloudFlare, hoy en día cualquiera puede configurar su web como una página HTTPS con unos pocos clics del ratón y de forma totalmente gratuita, algo que es de agradecer de cara a un Internet más seguro.

¿Qué opinas de los problemas de Symantec como CA?

Relacionado:https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html