Google Chrome prohíbe a las autoridades de certificación SSL chinas WoSign y StartCom

startcom-chrome-wosign-ssl-certificate

Como un castigo anunciado en octubre pasado, Google ya no confiar√° en las autoridades de certificaci√≥n SSL / TLS WoSign y su subsidiaria StartCom con el lanzamiento de Chrome 61 por no mantener el “se esperan altos est√°ndares de las AC”.

La medida se produjo después de que Google fue notificado por el equipo de seguridad de GitHub el 17 de agosto de 2016, que la Autoridad de Certificación china WoSign había emitido un certificado base para uno de los dominios de GitHub a un usuario de GitHub sin nombre sin autorización.

Despu√©s de que se inform√≥ este problema, Google realiz√≥ una investigaci√≥n en p√ļblico como una colaboraci√≥n con Mozilla y la comunidad de seguridad, que descubri√≥ varios otros casos de falsificaci√≥n de certificados de WoSign.

Como resultado, el gigante tecnol√≥gico el a√Īo pasado comenz√≥ a limitar su confianza en los certificados respaldados por WoSign y StartCom a los emitidos antes del 21 de octubre de 2016 y ha estado eliminando los nombres de host incluidos en la lista blanca en el transcurso de varios lanzamientos de Chrome desde Chrome 56.

Ahora, en una publicaci√≥n de Google Groups publicada el jueves, el ingeniero de seguridad de Chrome Devon O’Brien dijo que la compa√Ī√≠a finalmente eliminar√≠a la lista blanca de su pr√≥ximo lanzamiento de Chrome, desconfiando por completo de los certificados existentes de WoSign y StartCom.

“A partir de Chrome 61, se eliminar√° la lista blanca, lo que generar√° una desconfianza total en el WoSign existente y [its subsidiary] Certificados ra√≠z de StartCom y todos los certificados que han emitido “, dice O’Brien.

“Seg√ļn el Calendario de desarrollo de Chromium, este cambio deber√≠a estar visible en el canal Chrome Dev en las pr√≥ximas semanas, el canal Chrome Beta a fines de julio de 2017, y se lanzar√° en Stable a mediados de septiembre de 2017”.

El a√Īo pasado, Apple y Mozilla tambi√©n dej√≥ de confiar en WoSign, y StartCom emiti√≥ certificados para sus navegadores web debido a su n√ļmero de fallas t√©cnicas y de administraci√≥n.

“Muy en serio, descubrimos que estaban retrocediendo los certificados SSL para evitar la fecha l√≠mite en que las CA dejan de emitir SHA-1 Certificados SSL para enero 1, 2016 “, dijo Kathleen Wilson, directora del programa ra√≠z de confianza de Mozilla.

“Adem√°s, Mozilla descubri√≥ que WoSign hab√≠a adquirido la propiedad total de otra CA llamada StartCom y no lo revel√≥, como lo exige la pol√≠tica de Mozilla”.

Los problemas con el servicio de certificados de WoSign se remontan a julio de 2015 y el programador brit√°nico Mozilla Gervase Markham revel√≥ p√ļblicamente el a√Īo pasado en la lista de correo de pol√≠ticas de seguridad de Mozilla.

Seg√ļn Markham, un investigador no identificado encontr√≥ accidentalmente este error de seguridad al intentar obtener un certificado para ‘med.ucf.edu’ pero tambi√©n solicit√≥ ‘www.ucf.edu’ y WoSign lo aprob√≥, otorgando el certificado para el dominio principal de la universidad .

Para fines de prueba, el investigador de seguridad luego utilizó este truco contra los dominios base de Github (github.com y github.io), demostrando su control sobre un subdominio.

¬ŅY adivina qu√©? WoSign tambi√©n entreg√≥ el certificado para los dominios principales de GitHub.

A partir de septiembre de 2017, los visitantes de los sitios que utilizan los certificados HTTPS de WoSign o StartCom ver√°n eventualmente advertencias de confianza en sus navegadores web.

Por lo tanto, se recomienda que los sitios web que a√ļn dependen de certificados emitidos por WoSign o StartCom consideren reemplazar sus certificados. “Es urgente minimizar la interrupci√≥n para los usuarios de Chrome” Dijo O’Brien.

Lea también: Cómo ayudó la herramienta de monitoreo de transparencia de certificados Facebook Detección temprana de certificados SSL duplicados?