Llegamos a ustedes gracias a:



Noticias

Google dejará de confiar en los certificados de WoSign y StartCom

[04/11/2016] Tras decisiones similares por parte de Mozilla y Apple, Google planea rechazar los nuevos certificados digitales emitidos por dos autoridades de certificación porque violaban las normas y las mejores prácticas de la industria.

La prohibición entrará en vigor en Chrome versión 56, que se encuentra actualmente en el canal de versión de desarrollo, y se aplicará a todos los certificados emitidos por las autoridades de certificación WoSign y StartCom después del 21 de octubre. Los navegadores se basan en los certificados digitales para verificar la identidad de los sitios web y para establecer conexiones cifradas con ellos.

Los certificados expedidos antes de 21 de octubre seguirán siendo fiables mientras estén publicados en los registros públicos de Certificate Transparency, o hayan sido emitidos a un conjunto limitado de dominios propiedad de clientes conocidos de WoSign y StartCom.

La prohibición se ha dado luego de una investigación dirigida por Mozilla que encontró múltiples problemas en el proceso de emisión de certificados SSL de WoSign, una autoridad de certificación de China. La investigación también reveló que en el año 2015 WoSign silenciosamente adquirido StartCom, una entidad similar con sede en Israel, sin revelar el acuerdo a los proveedores de navegadores que operan programas de certificados raíz.

Entre los problemas descubiertos durante la investigación, había 64 casos donde WoSign había emitido certificados firmados con el viejo algoritmo SHA-1 luego de su fecha de vencimiento oficial el 1 de enero del 2016. La autoridad entonces cambió la fecha de esos certificados para hacer que parezca como si hubiesen sido emitidos antes del 1 de enero, en un intento de ocultar las violaciones.

La compañía china de seguridad en Internet Qihoo 360, que posee una participación mayoritaria en WoSign e implícitamente en StartCom, recientemente intervino y decidió separar a las dos autoridades certificadoras que sigilosamente habían estado compartiendo infraestructura, personal, políticas y sistemas de emisión por casi un año.

Qihoo 360 despidió al CEO, Richard Wang de WoSign, después de que determinó que él aprobó el cambio de fecha de 42 certificados SHA-1 emitidos por WoSign y dos emitidos por StartCom. Sin embargo, la empresa pidió a los proveedores de navegadores tratar los incidentes de WoSign y StartCom por separado al momento de decidir las sanciones, dando a esta última una larga historia como una entidad global confiable y con un impacto más limitado por sus acciones.

Al parecer esta estrategia no funcionó, porque hasta ahora Apple, Mozilla y Google anunciaron sus decisiones de prohibir los certificados de WoSign y StartCom. StartCom ha estado funcionando desde 1999, siendo el primer certificador en ofrecer certificados digitales gratis, y a diferencia de WoSign, la mayoría de sus clientes son de fuera de China.

"Debido a una serie de limitaciones técnicas y preocupaciones, Google Chrome no puede confiar en todos los certificados preexistentes y garantiza a nuestros usuarios que están suficientemente protegidos de futuras emisiones de este tipo, afirmó dijo el miembro del equipo de seguridad de Chrome Andrew Whalley en una entrada de blog. "Como resultado de estos cambios, los clientes de WoSign y StartCom pueden encontrar que sus certificados ya no funcionan en Chrome 56.

Además, las excepciones para los certificados emitidos antes de 21 de octubre solo son temporales y tienen por objetivo dar a los clientes de WoSign y StartCom tiempo para hacer la transición a otras autoridades de certificación. Estas excepciones se reducirán en las versiones posteriores de Chrome y las dos autoridades de certificados con el tiempo ya no serán confiables en lo absoluto.