Buenos Aires, 3 de Enero de 2017

Google anunció el pasado 31 de octubre, que cuando salga Chrome 56 en Enero del 2017, no confiará más en certificados emitidos por las autoridades certificantes WoSign y StartCom debido a incidentes de ellos en el último mes.

La decisión era esperable después de que Mozilla anunciara que empezarían a no confiar en certificados de WoSign y StartCom en Firefox 51, que también se publicará en Enero de 2017.

Mozilla y Google han acusado a WoSign de no adherirse a los estándares esperados para las Autoridades Certificantes. Google culpó a la adquisición de StartCom por parte de WoSign, algo que trataron de ocultar.

Mozilla publicó un reporte, explicando los errores cometidos por WoSign y StartCom, siendo el más preocupante el hecho de que la AC estaba emitiendo certificados con la fecha modificada para poder emitir certificados SHA-1, no siendo esto posible ya que a partir del 1 de enero del 2016 ya no se podían emitir. Microsoft Edge e Internet Explorer bloquearán certificados SHA-1 a partir del 1 de enero del 2017, mientras que Firefox y Chrome depreciaron el algoritmo a principio del año 2016. WoSign adulteró la fecha de emisión de certificados a Diciembre de 2015 en 62 ocasiones a certificados emitidos en 2016 para evitar la restricción de acuerdo al reporte de Mozilla.

Andrew Whalley, miembro del equipo de seguridad de Chrome, dijo que Google descubrió las malas intenciones de WoSign a mitad de Agosto cuando la empresa emitió un certificado para un dominio de Github sin la autorización de Github.

La adquisición de StartCom por parte de WoSign provocó un movimiento de staff, políticas y sistemas de emisión lo que directamente provoco confusión en la comunidad de navegadores. A los ojos de Google. Whalley reclama que la forma en la compañía se manejó con la adquisición de StartCom y los certificados erróneamente emitidos fueron un punto de inflexión.

“Para ambas ACs, hemos concluido que hay un patrón en los problemas e incidentes que indican una política de seguridad que no concuerda con las responsabilidades de una AC pública” dijo Whalley en una nota publicada en el blog de Seguridad de Google.

Google no confiará más en los certificados de WoSign y StartCom emitidos después del 21 de Octubre. Los certificados emitidos antes del 21 de Octubre serán confiables si cumplen con las políticas de Chrome pero Google informa que se reserva el derecho a no confiar en ningún certificado de WoSign en el futuro. Añadiendo urgencia a la situación, Whalley agrega que en algunas instancias, clientes de WoSign y StartCom pueden encontrar que sus certificados no funcionan en lo absoluto en Chrome 56.

Se recomienda a los usuarios a cambiar a otras ACs que Google Chrome y Mozilla Firefox confían, como Comodo. Todos los sitios que se encuentren utilizando certificados antiguos serán puestos en una whitelist y pueden solicitar ser removidos una vez que se haya hecho la transición.

“Cualquier intento de WoSign o StartCom de eludir estos controles provocará un remoción completa e inmediata de la confianza,” advierte Whalley.

Kathleen Wilson, responsable Mozilla’s CA Certificates Module and Policy, informó la semana pasada que Mozilla removerá los certificados raíz afectados de su almacén de certificados en el futuro, probablemente luego de Marzo de 2017, pero si los nuevos certificados raíz de WoSigng son aceptados para inclusión, pueden modificar la fecha de remoción para que coincida con los planes de WoSign de mover sus clientes a nuevos certificados.