Qué significa que Google acuse a Symantec de crear miles de certificados de seguridad inválidos en la web

Symantec y Google no se encuentran en los mejores términos. La corporación especializada en software cuyo nombre quizás te suene principalmente por estar detrás del popular Norton Antivirus, también es un de los especialistas más grandes del mundo a la hora de producir certificados de seguridad, y ahora Google no solo los acusa de hacer mal uso de estos, sino que empezará a tomar medidas para dejar de confiar en los certificados emitidos por Symantec.

El ingeniero de software de Google, Ryan Sleevi, escribió un post en en Google Groups describiendo el caso en contra de Symantec. Ahí explica como al menos 30,000 certificados no han sido correctamente validados por la empresa y por ende los ingenieros de Google ya no tienen confianza en las políticas y prácticas de Symantec.

¿Qué es un certificado de seguridad digital?

Un certificado digital es una forma de autenticar la identidad de un usuario ante terceros y también puede servir para cifrar comunicaciones o firmar digitalmente. Es un documento electrónico que debe ser verificado por una autoridad válida (CA), autoridad de certificación o certificadora, como lo es Symantec.

En cristiano, una certificadora es como la oficina de identidad de tu localidad que se encarga de emitir un DNI que compruebe que eres quien dices ser, el DNI es como el certificado digital. En el caso de las conexiones a Internet, como por ejemplo la conexión HTTPS segura indispensable para acceder a tu cuenta bancaria y estar seguro de que el sitio web que visitas es en realidad tu banco y no un tercero que te quiere robar, depende de que el navegador confíe el en certificado digital de la conexión.

Si el navegador no acepta la validez del certificado digital, recibirás un montón de advertencias de seguridad, y por tu seguridad no deberías confiar en esa conexión, pues pone tus datos en peligro. Es por esto que las acusaciones a Symantec por parte de Google son tan graves. Symantec es una de las certificadores más grandes del mundo, para el 2015 el 30% de la web estaba validada por sus certificados.

Lo que dice Symantec al respecto

Google afirma que Symantec ha emitido al menos 30,000 certificados sin verificar correctamente los sitios web que los recibieron, y ahora empezarán el proceso dedejar de confiar en los certificados emitidos por la empresa en el navegador Chrome.

En respuesta a esto Symantec emitió un comunicado acusando a Google de irresponsable. Dicen que las declaraciones de la empresa son exageradas, que no se trata de 30,000 certificados sino de 127 y que no resultaron en ningún daño a los consumidores. Además se quejan de que aunque muchas otras certificadoras grandes han experimentado este tipo de eventos, Google se ha dedicado a acusarlos solo a ellos.

Sin embargo, los ingenieros de Google dicen que han estado investigando desde el 19 de enero, y que el reporte inicial de 127 certificados se ha expandido hasta incluir al menos 30,000 en un periodo de tiempo de varios años. Además de esto,para Google el comportamiento de Symantec ha fallado en cumplir los requerimientos básicos de una autoridad certificadora, y que cuando se les presentó la evidencia de los problemas con sus certificados no tomaron las medidas necesarias ni revelaron la información en el tiempo apropiado.

Mientras tanto, Google dejará de confiar en los certificados de Symantec en forma gradual. Primero reducirán el periodo de validez de los nuevos certificados de la empreasa a nueve meses o menos, y posteriormente requerirán que sean reemplazados con nuevos certificados y que sean completamente revalidados. Hasta que la comunidad no esté segura de que las políticas y prácticas de Symantec son las adecuadas, no se reintegrará el reconocimiento de validez extendida a los certificados emitidos por la empresa.

Fue originalmente publicado en: Genbeta.com

About Gustavo Genez 410 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.