Seguridad

Informe sobre el cambio de escenario de los Certificados Digitales

Hasta que fue comprada por Symantec, Verisign fue la Autoridad Certificante que más porción de mercado tenía en este aspecto clave de la seguridad de las comunicaciones por Internet. Con el tiempo la confiabilidad de los certificados emitidos por Symantec fue deteriorándose y ahora la empresa evalúa vender esta división. Por su parte Google desconfía de estos certificados. Analizamos cómo seguirá esta parte clave del mercado de la Seguridad. En esta nueva edición de #HablandoDeSeguridad lo analizamos en detalle.

Los certificados SSL/TLS son los que se encargan de proteger tráfico en Internet, cifrando los datos de extremo a extremo y evitando que estos puedan ser interceptados y modificados. Las entidades emisoras de certificados (CA), son las responsables de generarlos y comprobar y garantizar que el sitio que lo usa es auténtico. Las CA deben cumplir con estrictos procesos de validación, en los que Symantec ha tenido algunas fallas.

En enero de este año, Google empezó a investigar una serie de irregularidades en el proceso de validación de los certificados emitidos por Symantec. Lo que en un principio parecía un caso aislado de 127 certificados llegó, a finales de marzo, al número de 30 mil certificados mal validados.

Esto llevó a Google a tomar la acción de ir suprimiendo la validez de los certificados emitidos por Symantec. Las páginas web que tengan un certificado emitido por esta empresa tendrían que solicitar uno nuevo para no convertirse en una web “potencialmente peligrosa” cuando Google Chrome, y probablemente el resto de navegadores web, empiecen a rechazar estos certificados.

Los problemas de Symantec tuvieron como consecuencia que Mozilla y otras organizaciones se unan a Google en la posición de que pierda su condición de CA, por lo que podría llegar un momento en el que ya no estaría en condiciones emitir certificados, al menos, hasta que solucione sus problemas de seguridad en el proceso de verificación.

Lo que podría ocurrir es que, a partir del próximo 1 de diciembre, Symantec perdiera su condición de CA y sus certificados redujeran su validez a mediados de 2018, con el lanzamiento de Google Chrome 70, que los consideraría como inseguros.

Esto no significa que Symantec vaya a dejar de emitir certificados. La estrategia de la compañía es convertirse, a partir de diciembre de este año, en un proveedor de certificados digitales con categoría de SubCA (Subordinate Certificate Authority) y que la emisión de los mismos esté a cargo de otra empresa, por el momento, desconocida.

Para que Symantec pueda recuperar su condición de CA, la empresa debería reestructurar su negocio de emisión de certificados, con base en una nueva infraestructura.

Para las empresas que actualmente utilizan certificados SSL/TLS de Symantec, la situación no tiene consecuencias inmediatas, por lo menos hasta que Google lance la nueva versión de Chrome.

El 25 de agosto pasado, Darin Fisher, uno de los líderes de Seguridad de Google, ratificó que Chrome 66, que será distribuido a partir del 17 de abril del 2018, no aceptará certificados emitidos por Symantec antes del 1 de junio de 2016.

CLAVES PARA EL CANAL

La situación explicada en el informe implica que los sitios que tengan certificados emitidos por Symantec podrían requerir ser cambiados por otros provenientes de diferentes CA. Google recomienda que la sustitución se haga antes del 15 de marzo de 2018.

Lo que también se debe tener en cuenta es que otras marcas de CA, además de Symantec, han tenido incidentes que comprometieron su credibilidad, por lo que, en caso de recomendar un cambio de Certificados, habrá que ser muy cuidadoso con los aspectos reputacionales del proveedor que se seleccione.

Por último, se debe tener en cuenta que si bien el problema es complicado, Symantec tiene opciones para revertir la situación. Deberemos estar atentos a las acciones de la empresa ante esta crisis reputacional.

Autor

  • Gustavo Aldegani

    Experto en Ciberseguridad, con 30 años de experiencia en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos y América Latina. Profesor de la Universidad de Belgrano, escritor y conferencista.

[mdx-adserve-bstreet region="MED"]

Gustavo Aldegani

Experto en Ciberseguridad, con 30 años de experiencia en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos y América Latina. Profesor de la Universidad de Belgrano, escritor y conferencista.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba