El plan para que Chrome y Firefox desconfíen de los certificados TLS de Symantec ha estado en marcha durante más de un año, pero Mozilla está retrasando la acción en el último minuto porque demasiados sitios siguen utilizando los certificados de dicha compañia.
El plan formal para rechazar los certificados TLS de Symantec fue acordado por Google, Mozilla y la comunidad PKI en julio de 2017, justo antes de que Symantec vendiera su negocio de autoridad de certificación (CA) a DigiCert. Google comenzó a desconfiar de los certificados de Symantec existentes en abril de 2018 con el lanzamiento de Chrome 66, mientras que Firefox y Safari comenzaron una desconfianza parcial en agosto. Google y Mozilla tenían previsto desconfiar completamente de los certificados TLS de Symantec a partir de mediados de octubre, mientras que Apple ofrecía un final más vago en otoño de 2018.
Sin embargo, Mozilla anunció esta semana que retrasará la fecha de rechazo total en Firefox desde el 23 de octubre hasta al menos diciembre, porque cree que muchos sitios web aún no han reemplazado sus certificados TLS de Symantec.
“Aunque la situación ha ido mejorando constantemente, nuestros últimos datos muestran que más del 1% de los 1 millón de sitios web más importantes siguen utilizando un certificado de Symantec en el que no se puede confiar”, escribió Wayne Thayer, director del programa de autoridades de certificación de Mozilla, en un artículo publicado en un blog.
“Es desafortunado que tantos operadores de sitios web hayan esperado para actualizar sus certificados, especialmente dado que DigiCert está proporcionando reemplazos gratuitos. Dada la situación actual, creemos que retrasar la publicación de este cambio hasta finales de este año, cuando más sitios hayan reemplazado sus certificados TLS de Symantec, es en general lo mejor para nuestros usuarios”.
Un portavoz de Mozilla dijo que la empresa entiende que existe un riesgo para los usuarios de retrasar la desconfianza en los certificados TLS de Symantec, pero agregó que, aunque sólo aproximadamente 13.000 de los 1 millón de sitios web más importantes siguen utilizando los certificados de riesgo, esos sitios web tienen un alcance considerable para los usuarios finales. “Esto no es sólo una cuestión de volumen. Es una cuestión de alcance de los sitios que conforman el 1%”, dijo el portavoz.
Google se negó a comentar la decisión de Mozilla y en su lugar señaló sus planes de desconfiar de los certificados TLS de Symantec, en los que el límite final será con Chrome 70, cuya publicación está prevista para el 16 de octubre.
Historia y reacción de Symantec
Aunque los planes establecidos por Google y Mozilla para desconfiar de los certificados TLS de Symantec han estado en vigor desde julio de 2017, la CA de Symantec fue sancionada por primera vez por Google por emitir certificados incorrectos en 2015. El proyecto de Transparencia de Certificados de Google encontró más de 100 certificados de Symantec emitidos incorrectamente en enero de 2017.
En marzo de 2017, el equipo de Google Chromium dijo que había encontrado otros 30.000 certificados de Symantec que no se podían validar correctamente. Los problemas se agravaron aún más en marzo de 2018 cuando DigiCert anunció planes para revocar 23.000 certificados de Symantec porque las claves privadas habían sido expuestas a través del distribuidor de certificados Trustico.
Scott Helme, un investigador de seguridad independiente con sede en Lancashire, Reino Unido, dijo que era “una pena ver a Mozilla dando un paso atrás en la fecha límite de esta acción; después de todo, había una muy buena razón para que la decisión se tomara en primer lugar”.
“Para cualquier cambio que veamos así en Internet — la reciente deprecación de SHA-1 y la migración a SHA-256 es un gran ejemplo — siempre hay sitios que por alguna razón no migran a tiempo. Creo que con suficiente antelación y alcance, como ha sido el caso con la desconfianza de Symantec, el cambio debería llevarse a cabo según lo planeado”, escribió Helme por correo electrónico.
Chris Olson, director ejecutivo de The Media Trust, dijo que el proceso de transición de un sitio web a la transición de los certificados TLS de Symantec “no debería llevar más de unas pocas semanas”.
“Es probable que Mozilla sólo se preocupe por la comodidad de sus usuarios”, escribió Olson por correo electrónico. “Al desconfiar de los certs, Mozilla está enviando una advertencia a sus usuarios, que recibirán un mensaje de error en la pantalla que indica que el cert no es de confianza.”
Mark Miller, director de soporte de seguridad empresarial de Venafi, dijo que no todas las organizaciones tienen los procesos adecuados para hacer el cambio de forma eficiente.
“Desconfiar de la mayor parte de los certificados en Internet puede ser doloroso. Y es especialmente doloroso para las organizaciones que no tienen una forma automatizada de reemplazar sus certificados. De hecho, muchas organizaciones ni siquiera tienen un inventario completo de sus identidades de máquinas”, escribió Miller por correo electrónico.
“Sin embargo, al retrasar nuestros plazos de desconfianza, dejamos la ventana abierta para que salgan más datos. Como profesionales de la seguridad, tenemos que ser capaces de trazar una línea y apoyarla con confianza, pero para hacerlo, las organizaciones tendrán que priorizar su capacidad para responder a este tipo de eventos”.
Y vosotros, ¿revisáis los certificados de las webs a las que conectáis? ¿Cuidaís la privacidad en Internet?