Martes 24 de octubre de 2017
Home / ITSitio Play / #HablandoDeSeguridad / #HablandoDeSeguridad: Informe sobre el cambio de escenario de los Certificados Digitales

#HablandoDeSeguridad: Informe sobre el cambio de escenario de los Certificados Digitales

Hasta que fue comprada por Symantec, Verisign fue la Autoridad Certificante que más porción de mercado tenía en este aspecto clave de la seguridad de las comunicaciones por Internet. Con el tiempo la confiabilidad de los certificados emitidos por Symantec fue deteriorándose y ahora la empresa evalúa vender esta división. Por su parte Google desconfía de estos certificados. Analizamos cómo seguirá esta parte clave del mercado de la Seguridad. En esta nueva edición de #HablandoDeSeguridad lo analizamos en detalle.

Los certificados SSL/TLS son los que se encargan de proteger tráfico en Internet, cifrando los datos de extremo a extremo y evitando que estos puedan ser interceptados y modificados. Las entidades emisoras de certificados (CA), son las responsables de generarlos y comprobar y garantizar que el sitio que lo usa es auténtico. Las CA deben cumplir con estrictos procesos de validación, en los que Symantec ha tenido algunas fallas.

En enero de este año, Google empezó a investigar una serie de irregularidades en el proceso de validación de los certificados emitidos por Symantec. Lo que en un principio parecía un caso aislado de 127 certificados llegó, a finales de marzo, al número de 30 mil certificados mal validados.

Esto llevó a Google a tomar la acción de ir suprimiendo la validez de los certificados emitidos por Symantec. Las páginas web que tengan un certificado emitido por esta empresa tendrían que solicitar uno nuevo para no convertirse en una web “potencialmente peligrosa” cuando Google Chrome, y probablemente el resto de navegadores web, empiecen a rechazar estos certificados.

Los problemas de Symantec tuvieron como consecuencia que Mozilla y otras organizaciones se unan a Google en la posición de que pierda su condición de CA, por lo que podría llegar un momento en el que ya no estaría en condiciones emitir certificados, al menos, hasta que solucione sus problemas de seguridad en el proceso de verificación.

Lo que podría ocurrir es que, a partir del próximo 1 de diciembre, Symantec perdiera su condición de CA y sus certificados redujeran su validez a mediados de 2018, con el lanzamiento de Google Chrome 70, que los consideraría como inseguros.

Esto no significa que Symantec vaya a dejar de emitir certificados. La estrategia de la compañía es convertirse, a partir de diciembre de este año, en un proveedor de certificados digitales con categoría de SubCA (Subordinate Certificate Authority) y que la emisión de los mismos esté a cargo de otra empresa, por el momento, desconocida.

Para que Symantec pueda recuperar su condición de CA, la empresa debería reestructurar su negocio de emisión de certificados, con base en una nueva infraestructura.

Para las empresas que actualmente utilizan certificados SSL/TLS de Symantec, la situación no tiene consecuencias inmediatas, por lo menos hasta que Google lance la nueva versión de Chrome.

El 25 de agosto pasado, Darin Fisher, uno de los líderes de Seguridad de Google, ratificó que Chrome 66, que será distribuido a partir del 17 de abril del 2018, no aceptará certificados emitidos por Symantec antes del 1 de junio de 2016.

CLAVES PARA EL CANAL

La situación explicada en el informe implica que los sitios que tengan certificados emitidos por Symantec podrían requerir ser cambiados por otros provenientes de diferentes CA. Google recomienda que la sustitución se haga antes del 15 de marzo de 2018.

Lo que también se debe tener en cuenta es que otras marcas de CA, además de Symantec, han tenido incidentes que comprometieron su credibilidad, por lo que, en caso de recomendar un cambio de Certificados, habrá que ser muy cuidadoso con los aspectos reputacionales del proveedor que se seleccione.

Por último, se debe tener en cuenta que si bien el problema es complicado, Symantec tiene opciones para revertir la situación. Deberemos estar atentos a las acciones de la empresa ante esta crisis reputacional.

Acerca de Gustavo Aldegani

Gustavo Aldegani
Consultor Independiente en Seguridad Informática, con 25 años de experiencia, especializado en Implementación de Sistemas Informáticos Seguros en organizaciones militares, de gobierno y privadas de Estados Unidos, América Latina y Argentina. Profesor de la Materia Seguridad Informática en la Universidad de Belgrano.

También puedes ver

ran-security-hablando-de-gaming

#HablandoDeSeguridad: Todo sobre el tour de RANSecurity

En esta nueva edición de #HablandoDeSeguridad dialogamos con Lucía González de RANSecurity quién nos cuenta …

2 Comentarios

  1. Gente les dejo un par de comentarios.

    Ya Symantec ha vendido su negocio de SSL les dejo el vinculo para que lo chequeen. http://investor.symantec.com/About/Investors/press-releases/press-release-details/2017/DigiCert-to-Acquire-Symantecs-Website-Security-and-Related-PKI-Solutions/default.aspx

    Adicionalmente Symantec no tiene el 70% del mercado, les dejo un vinculo para que puedan chequear la información https://w3techs.com/technologies/overview/ssl_certificate/all?key5sk1=70ec7217539db3939802868755b4ae469c7c7a65&track=8137&ssl=Comodo-EV-SSL&key5sk0=2128

    Saludos cordiales,

    • Pamela Stupia

      Agradecemos mucho el aporte.

      Con respecto a la cita de la noticia “Symantec Corporation – DigiCert to Acquire Symantec’s …” es una algo que se conoce desde hace tiempo, pero como bien dice la informaciòn citada “se espera que se complete en el tercer trimestre del año fiscal 2018, sujeto a la satisfacción de las condiciones habituales de cierre” (esto serà el año que viene). Por lo que, como informamos, los Certificados Digitales objetados por Google fueron emitidos por Symantec.

      Con respecto a la estadística que cita de W3Techs sòlo se refiere a Certificados SSL y es una de varias empresas que hacen este tipo de estudios. Si bien la tomamos en cuenta, sus datos no coinciden con los de otras fuentes, esto no lo consideramos un error, sino que debe obedecer a la forma particular con la que hacen la estimaciòn.

      Reiteramos el agradecimiento por el aporte,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Real Time Web Analytics