En enero de este mismo año, Google empezó a investigar una serie de irregularidades en el proceso de validación de los certificados emitidos por Symantec. Lo que en un principio parecía un caso “aislado” de “solo” 127 certificados, a finales de marzo el número de certificados mal validados y, por lo tanto, incorrectos e inseguros asciende a más de 30.000.

Como ya dijimos, Google va a ir suprimiendo relativamente la validez de los certificados de la compañía. Las páginas web que tengan un certificado emitido por Symantec tendrán que solicitar uno nuevo para no convertirse en una web “potencialmente peligrosa” cuando Google Chrome, y el resto de navegadores web, empiecen a rechazar estos certificados. Además, las negligencias de Symantec han sido tan graves que Google, Mozilla y otras organizaciones han decidido que esta perderá su título de CA y ya no podrá emitir certificados, al menos, hasta que solucione sus graves problemas de seguridad en el proceso de verificación de estos.

Symantec dejará de ser una CA para convertirse en una SubCA

  • A partir del próximo 1 de diciembre, Symantec perderá su título de autoridad certificadora, o CA, y sus certificados se empezarán a controlar y a ir reduciendo su validez hasta que, a mediados de 2018, concretamente con la llegada de Google Chrome 70, todos ellos dejarán de tener validez.
  • Tras la investigación que ha llevado a cabo Google, Symantec ha perdido el título de autoridad certificadora, aunque esto no significa que vaya a dejar de emitir certificados. Ahora, la compañía se va a convertir, a partir de diciembre de este año, en un proveedor de certificados digitales, o SubCA, aunque la emisión de los mismos tendrá que correr por parte de otra empresa, por el momento, desconocida.
  • Si Symantec quiere volver a funcionar como una CA, la compañía tendrá que implementar una nueva infraestructura completa para reestructurar su negocio y poder seguir trabajando como tal, acorde a las medidas de seguridad y los procesos de verificación adecuados para verificar la identidad de las webs que implementan sus certificados.

Fuente: Diarioit

Anuncios