Symantec y Google no se encuentran en los mejores términos. La corporación especializada en software cuyo nombre quizás te suene principalmente por estar detrás del popular Norton Antivirus, también es un de los especialistas más grandes del mundo a la hora de producir certificados de seguridad, y ahora Google no solo los acusa de hacer mal uso de estos, sino que empezará a tomar medidas para dejar de confiar en los certificados emitidos por Symantec.
El ingeniero de software de Google, Ryan Sleevi, escribió un post en en Google Groups describiendo el caso en contra de Symantec. Ahí explica como al menos 30,000 certificados no han sido correctamente validados por la empresa y por ende los ingenieros de Google ya no tienen confianza en las políticas y prácticas de Symantec.
¿Qué es un certificado de seguridad digital?
Un certificado digital es una forma de autenticar la identidad de un usuario ante terceros y también puede servir para cifrar comunicaciones o firmar digitalmente. Es un documento electrónico que debe ser verificado por una autoridad válida (CA), autoridad de certificación o certificadora, como lo es Symantec.
En cristiano, una certificadora es como la oficina de identidad de tu localidad que se encarga de emitir un DNI que compruebe que eres quien dices ser, el DNI es como el certificado digital. En el caso de las conexiones a Internet, como por ejemplo la conexión HTTPS segura indispensable para acceder a tu cuenta bancaria y estar seguro de que el sitio web que visitas es en realidad tu banco y no un tercero que te quiere robar, depende de que el navegador confíe el en certificado digital de la conexión.
Si el navegador no acepta la validez del certificado digital, recibirás un montón de advertencias de seguridad, y por tu seguridad no deberías confiar en esa conexión, pues pone tus datos en peligro. Es por esto que las acusaciones a Symantec por parte de Google son tan graves. Symantec es una de las certificadores más grandes del mundo, para el 2015 el 30% de la web estaba validada por sus certificados.
Lo que dice Symantec al respecto
Google afirma que Symantec ha emitido al menos 30,000 certificados sin verificar correctamente los sitios web que los recibieron, y ahora empezarán el proceso de dejar de confiar en los certificados emitidos por la empresa en el navegador Chrome.
En respuesta a esto Symantec emitió un comunicado acusando a Google de irresponsable. Dicen que las declaraciones de la empresa son exageradas, que no se trata de 30,000 certificados sino de 127 y que no resultaron en ningún daño a los consumidores. Además se quejan de que aunque muchas otras certificadoras grandes han experimentado este tipo de eventos, Google se ha dedicado a acusarlos solo a ellos.
Sin embargo, los ingenieros de Google dicen que han estado investigando desde el 19 de enero, y que el reporte inicial de 127 certificados se ha expandido hasta incluir al menos 30,000 en un periodo de tiempo de varios años. Además de esto, para Google el comportamiento de Symantec ha fallado en cumplir los requerimientos básicos de una autoridad certificadora, y que cuando se les presentó la evidencia de los problemas con sus certificados no tomaron las medidas necesarias ni revelaron la información en el tiempo apropiado.
Mientras tanto, Google dejará de confiar en los certificados de Symantec en forma gradual. Primero reducirán el periodo de validez de los nuevos certificados de la empreasa a nueve meses o menos, y posteriormente requerirán que sean reemplazados con nuevos certificados y que sean completamente revalidados. Hasta que la comunidad no esté segura de que las políticas y prácticas de Symantec son las adecuadas, no se reintegrará el reconocimiento de validez extendida a los certificados emitidos por la empresa.
Vía | TechCrunch
En Genbeta | Por primera vez más del 50% de las webs utilizan HTTPS, según Firefox
Ver 9 comentarios
9 comentarios
zakatolapan
Bueno... symantec es una empresa. Lo ideal para cualquier empresa es cobrar dinero sin hacer nada. Validar que quien dice ser dueño de un sitio web realmente lo es, es un inconveniente. Es mejor cobrar el dinero sin "molestar" al cliente con verificaciones.
paxxxion
''...Symantec es una de las certificadores más grandes del mundo, para el 2015 el 30% de la web estaba validada por sus certificados. ''
Ahi esta el negocio que quiere apropiarse google. Primero destruye al que quiere y luego se queda con su negocio. Cada dia mejor el Google este.
miguelabellan nosoye
Efectivamente, podrían estar vendiendo su certificado digital a un clon de Steam o a una página de pornografía infantil sin molestarse siquiera a analizar el contenido de la web que están certificando.
joondor
¿Y cómo olvidar todas las veces que acusaron a éstas empresas de generar virus para poder vender su software?
jack2
El problema real y por lo que está molesto google fue que se emitió un ssl del dominio www .google.com, esto no lo menciona este artículo.