Propietarios de sitios web, tomen nota: En algunas semanas, los productos de Mozilla, incluyendo su popular navegador Firefox, dejarán de confiar en un número no definido de certificados SSL que fueron emitidos usando los viejos certificados raíz CA de llaves RSA de 1024 bits.
La acción es parte de los esfuerzos de la organización que comenzaron en septiembre para forzar a las autoridades certificadoras (CA, por sus siglas en inglés) y a sus clientes a que dejen de usar los certificados de 1024 bits, los cuales son considerados criptográficamente inseguros debido a los avances en el poder de cómputo.
“Si administra un sitio web con SSL, este cambio no le va a impactar si sus certificados y los certificados que se encuentran sobre ellos tienen llaves de 2048 bits o superiores”, sostuvo el equipo de ingeniería de seguridad de Mozilla en una entrada de blog. “Si su certificado SSL tiene una llave de 1024 bits, o fue emitido con un certificado con una llave de 1024 bits, tendrá que conseguir un nuevo certificado SSL, y actualizar los certificados en su servidor web”.
Los propietarios de los certificados de 2048 bits que se enlacen con los certificados CA intermedios con llaves de 1024 bits también se verán impactados si no actualizan la cadena de certificados en sus servidores web para incluir un intermedio de 2048 bits de su autoridad de certificación.
Cada autoridad certificadora tiene uno o más certificados raíz que usa para firmar los certificados SSL cuando los emite a los clientes. Esos certificados CA se encuentran incluidos en los sistemas operativos, principales navegadores y otros productos según los acuerdos establecidos y son utilizados para verificar la autenticidad de los certificados SSL presentados por los sitios web.
En Firefox 36, que actualmente se encuentra en fase beta de prueba pero que está programado para lanzarse el 24 de febrero, Mozilla retiró cinco certificados CA de 1024 bits de propiedad de Verizon y Symantec. Los certificados que se van a retirar son los siguientes: GTE CyberTrust Global Root, Thawte Server CA, Thawte Premium Server CA, Class 3 Public Primary Certification Authority – G2 y Equifax Secure eBusiness CA-1.
Esto significa que Firefox 36 y los posteriores ya no confiarán en los certificados SSL que se enlacen con una de estas raíces, y mostrarán un error de conexión no confiable cuando se encuentre con estos certificados.
Mozilla ya retiró otros ocho certificados CA de 1024 bits en septiembre, en Firefox 32. Éstos pertenecían a Entrust, SECOM, GoDaddy, EMC/RSA, VeriSign (ahora Symantec) y NetLock.
Se espera que la tercera fase -la final- de este proceso se produzca durante el primer semestre de este año, e involucrará el retiro de dos certificados raíz de Equifax de propiedad de Symantec. De acuerdo a una nota del bug tracker de Mozilla uno de esos dos certificados raíz de Equifax aún es “ampliamente utilizado”.
– Lucian Constantin, IDG News Service
