Cada vez más páginas web ofrecen a sus usuarios conexiones seguras gracias a los certificados TLS. Estos certificados pueden ser emitidos por distintas entidades, muchas de pago y otras, como Let’s Encrypt, gratuitas. Sin embargo, las reglas de seguridad y validación en estas emisoras son para todas las mismas y, si una no las cumple, es necesario anular la validez de estos certificados, y eso es lo que le ha pasado a Symantec.

El pasado 19 de enero, Google empezó a investigar una serie de fallos de seguridad en el proceso de validación de certificados emitidos por Symantec. En un principio, Google encontró tan “solo” 127 certificados incorrectos, sin embargo, un estudio más en profundidad ha demostrado que el número total de todos estos ha ascendido a un total de 30.000 certificados emitidos por esta CA.

Estos certificados han sido emitidos durante varios años y, tal como ha podido comprobar Google, a medida que ha pasado el tiempo, la compañía ha ido relajando las políticas y prácticas de seguridad a la hora de emitir y validad estos certificados, llegando, actualmente, a haberse perdido esta por completo.

Por defecto, los certificados TLS se encargan de proteger el tráfico de los usuarios y evitar que este pueda ser tanto monitorizado como modificado en ataques MITM, sin embargo, no pueden verificar la identidad del emisor, ya que cualquiera podría suplantar los datos. Aquí es donde entra en juego el proceso de validación de los certificados de las CA, un proceso mediante el cual las emisoras garantizan que el sitio web es auténtico y no se trata de un usuario malicioso que está intentando suplantar otro sitio web diferente.

Por el momento, Google no ha dicho cuándo va a revocar por completo estos certificados, aunque lo hará relativamente pronto. Los usuarios que tengan comprado un certificado con esta compañía deberían pedir una nueva emisión del mismo para que su página web no sea considerada como “potencialmente peligrosa” por el navegador.

Google debe andar con cuidado. Revocar más de 30.000 certificados emitidos por Symantec puede causar estragos en la red

En 2015, más del 30% de todos los certificados emitidos eran por Symantec, por lo que revocar de golpe 30.000 certificados de esta entidad sería catastrófico. Por ello, Google tiene un plan con el que ir revocando poco a poco estos certificados hasta que, finalmente, queden totalmente depreciados, pero con el tiempo suficiente para que los administradores web puedan actualizarlos.

De esta manera, Google Chrome 59 limitará la vida de estos certificados a 33 meses y, progresivamente, irá disminuyendo este periodo de validez. Así, Google Chrome 60 los limitará a 27 meses, Chrome 61 a 21 meses, 62 y 63 (estable) a 15 meses y, finalmente, con Google Chrome 64 se limitará la validez de estos a tan solo 9 meses.

Google tiene los motivos para revocar la validez de estos certificados más que justificados, ya que la cantidad de certificados mal emitidos es muy grande y está poniendo en peligro a un gran número de webs. Además, el revocarlos progresivamente para causar el menor impacto posible es lo “menos malo” que podía ocurrir, ya que al menos todos, o casi todos los administradores podrán actualizar de nuevo los certificados, ya sea de nuevo con Symantec o a través de otras entidades certificadoras como Let’s Encrypt.

¿Qué opinas sobre estos certificados mal emitidos por Symantec?