Polémica entre Google y Symantec a cuenta de una emisión errónea de certificados TLS
Google asegura que su navegador Chrome dejará de aceptar certificados EV emitidos por la red de socios o subsidiarias de Symantec, y la compañía de seguridad califica de irresponsable la acción, tranquilizando a los clientes acerca de la confianza en sus certificados TSL. Noticias de seguridad
Tras una investigación llevada a cabo por el gigante de Internet durante los dos últimos meses, Google afirma que Symantec y sus empresas asociadas o subsidiarias (Equifax, Geotrust, Thawte o Verisign entre ellas) habrían emitido incorrectamente al menos 30.000 certificados TLS. Como consecuencia de ello, la compañía norteamericana anunciaba el 23 de marzo que dejaba de confiar en el proceso aplicado por Symantec para la emisión de certificados, utilizados por un gran número de sitios web en todo el mundo.
Esta decisión se materializaría en varias medidas: En primer lugar, Chrome dejaría de aceptar nuevos certificados emitidos por Symantec con fecha de caducidad superior a los nueve meses. La segunda medida implicaría una reducción gradual de la validez aceptada por Chrome para los certificados, en caso que éstos hayan sido emitidos por Symantec o alguna de sus subsidiarias.
La medida considerada como más drástica sería la siguiente: Google asegura que dejará de aceptar el estatus de Extended Validation (EV) de los certificados de Symantec. Esta medida sería instaurada inmediatamente después que Google adopte una resolución definitiva al respecto. EV agrega el nombre de la empresa antes del candado de SSL y el prefijo https.
Tras el anuncio de Google, Symantec respondía a las medidas este lunes, emitiendo un comunicado público, asegurando que “esta acción es inesperada y creemos que el artículo publicado por Google en su blog es irresponsable. Esperamos que no se trate de un acto deliberado, diseñado para crear incertidumbre y duda en la comunidad de Internet respecto de nuestros certificados SSL/TLS”.
La compañía de seguridad explica lo siguiente en su comunicado: “Las declaraciones de Google sobre nuestras prácticas de emisión de certificados y el volumen de certificados incorrectos son exageradas y tergiversan los hechos. Por ejemplo, las afirmaciones de Google de que habríamos emitido 30.000 certificados SSL/TLS erróneos no son ciertas. El incidente al que Google se refiere, 127 certificados -no 30.000- fueron identificados como erróneamente emitidos, y no resultaron en perjuicio alguno para los consumidores. Hemos tomado exhaustivas medidas tendientes a corregir la situación, como por ejemplo la revocación inmediata del estatus de autoridad registrada (RA) para los socios comerciales involucrados. Asimismo, con el fin de fortalecer la confianza en los certificados SSL/TLS emitidos por Symantec, hemos descontinuado nuestro programa RA. Con esta medida, nos diferenciamos de otras autoridades públicas de certificación (CA) que aún no hacen lo propio”.
Symantec y sus subsidiarias y socios suponen uno de los mayores emisores de certificados TLS. Aunque no hay cifras oficiales, Google estima que Symantec representa alrededor del 30% de los certificados válidos emitidos en 2015, según explican en Diario TI, fuente de esta información.
