Ha pasado más de un año desde que Google acusara a Symantec de crear miles de certificados de seguridad falsos. Pero esa historia no se quedó en meras acusaciones, sino que Google pasó a tomar medidas, como dejar de confiar en ellos, y este 16 de octubre, con la llegada de Chrome 70, se cierra la última etapa de este proceso.
Esto quiere decir que miles de sitios web que aún utilizan certificados de seguridad emitidos por Symanctec antes de junio de 2016, se van a romper. No van a ser bloqueados como tal por Chrome, pero se van a llenar de advertencias y ventanas emergentes que impiden la navegación como es usual, y que advierten al usuario de que no se trata de webs seguras.
Más de un año después
Esto no es un problema de Chrome 70, ni siquiera de los estándares modernos, ni de falta de tiempo para mudarse a ellos. Es un problema de una empresa (Symantec) que emitió certificados inválidos, y de un montón de administradores que no han hecho sus deberes en más de un año.
Y no son pocos, como muestra el investigador de seguridad Scott Helme, unos 1.139 sitios web dentro del millón más visitados según las clasificaciones de Alexa, aún conservan estos viejos certificados de seguridad.
Incluso instituciones gubernamentales como el Banco Federal de la India, la web del gobierno de Tel Aviv, la web de Ferrari, y muchos más, no han cambiados sus certificados a pesar de haber tenido más de un año para hacerlo.
De certificados digitales y confianza
Si no entiendes qué quiere decir todo esto, explicado en cristiano, un certificado de seguridad digital es como un DNI que sirve para autenticar la identidad de un usuario o para cifrar las comunicaciones.
El navegador necesita confiar el el certificado digital de la conexión para asegurarse de que eres tú quien quiere entrar a una web, como por ejemplo, la de tu banco. Si el navegador no confía en el certificado de seguridad de una web, o la conexión no se lleva a cabo, o se te muestran múltiples alertas para evitar que continúes navegando así.
Desde Chrome 66, Google ya había dejado de confiar en parte de los certificados de Symantec, pero ahora cierra la última tanda, puesto que también incluye a marcas asociadas como Thawte, VeriSign, Equifax, GeoTrust and RapidSSL.
Los certificados de seguridad prueban la integridad del sitio web que estás visitando y aseguran que la página no ha sido modificada por un atacante. La mayoría de los sitios obtienen sus certificados de una autoridad certificadora, como Symantec.
Sin embargo, Google descubrió que estos permitían que organizaciones no confiables emitieran certificados sin las evaluaciones necesarias, y por lo tanto muchas organizaciones que ya tenían certificados tuvieron que pagar por certificados nuevos.
Ver 26 comentarios