Después del último incidente de emisión de certificados impropios, Google señala que ha perdido la confianza en la mayor autoridad de certificación (CA) del mundo.
Según una encuesta de Netcraft, Symantec es responsable desde 2015 de aproximadamente uno de cada tres certificados SSL (Secure Sockets Layer) utilizados en la web, por lo que es el mayor emisor de certificados comerciales del mundo. Además, como resultado de adquisiciones a lo largo de los años, la compañía controla los certificados de varias autoridades anteriormente independientes, incluyendo VeriSign, GeoTrust, Thawte y RapidSSL.
Sin embargo, Google alerta que muchos de los certificados emitidos por Symantec son incorrectos ya que tienen una antigüedad tan elevada que no permiten confirmar si efectivamente son seguros o no. Un plan propuesto es obligar a la compañía a reemplazar todos los certificados de sus clientes y dejar de reconocer el estado de validación extendida (EV) de aquellos que lo tienen.
Según Google, esta investigación cuestiona la validez de al menos 30,000 certificados emitidos por los socios de Symantec durante varios años. Sin embargo, Symantec disputa este número.
Así funciona la certificación
El proceso de emisión y administración de certificados se rige por las reglas creadas por CA / Browser Forum, una organización cuyos miembros incluyen proveedores de navegadores y autoridades de certificación. Cuando se violan estas reglas, los proveedores de navegadores y sistemas operativos pueden revocar la confianza en los certificados infractores y sancionar a las autoridades de certificación responsables, llegando incluso a expulsarlos.
Según Google, una investigación sobre un incidente reciente indica que Symantec no ha mantenido las prácticas de seguridad esperadas de las autoridades de certificación, como la validación del control de dominio, la auditoría de los registros de evidencia de emisión no autorizada y la reducción de la capacidad de emisión de certificados fraudulentos.
Si el plan de Google se pone en práctica, millones de certificados de Symantec existentes no serán de confianza durante los próximos 12 meses en Google Chrome. Esto pondrá una enorme presión sobre Symantec, ya que la empresa tendrá que ponerse en contacto con todos los clientes, validar su identidad y la propiedad de sus dominios de nuevo, y reemplazar sus certificados existentes por otros nuevos, muy probablemente sin coste alguno.
Además, Symantec podría tener que reembolsar a los clientes que pagaron por certificados EV que ya no se reconozcan como tales en Chrome, ya que su valor se reduciría significativamente.
Es seguro decir que las sanciones de Google podrían tener un impacto significativo en el negocio SSL de Symantec, ya que es probable que la compañía pierda clientes que no estarán dispuestos a soportar estas restricciones y llevarán su negocio a una autoridad de certificación diferente.
Los vendedores de navegadores han castigado antes a las CA por emitir de manera inapropiada certificados –o equivocarse en el lenguaje de la industria–, pero nunca en esta escala y con un impacto tan grande en el ecosistema.
