Seguridad

Guerra entre Google y Symantec por la validez de 30.000 certificados HTTPS

Utiliza siempre el protocolo HTTPS

Symantec habría emitido hasta 30.000 certificados de validacion extendida durante los últimos años que Google considera erróneos y potencialmente peligrosos.

Hace ya unos meses que Google anunció cambios en su algoritmo de búsquedas y, muy especialmente, en su navegador Chrome para resaltar las webs que cuentan con certificados HTTPS frente a portales que no pueden ser identificadas como seguras. Un movimiento que trajo cierta polémica al obligar a muchas pymes a actualizar sus sitios pero que ha traído aún más cola a raíz de la decisión de Google de enfrentarse de plano a uno de los mayores proveedores de este tipo de certificaciones, Symantec, que domina entre el 30%-40% de todas las emisiones.

El último capítulo en esta particular batalla ha tenido lugar en el día de hoy: Chrome dejará de reconocer con efecto inmediato unos 30.000 certificados de validación extendida proporcionados -supuestamente por error- por las autoridades que dependen de Symantec. Así lo ha confirmado Ryan Sleevi, ingeniero de software de Google Chrome, en un foro online.

Y es que, desde Google defienden que muchos de los certificados emitidos por Symantec tienen una antigüedad tan elevada que no permiten confirmar si efectivamente son seguros o no. Así pues, Chrome irá anulando de forma progresiva estos HTTPS dudosos, comenzando por rechazar los que tengan más de 33 meses (en Chrome 59) y acabando por no permitir certificados con más de nueve meses con la llegada de Chrome 64.

¿Conoces la diferencia entre HTTP y HTTPS?

Google afirma que se han detectado numerosas amenazas procedentes de sitios web certificadas erróneamente por Symantec, una situación ante la cual la firma de seguridad “ha fallado a la hora de proporcionar actualizaciones oportunas a la comunidad con respecto a estas cuestiones”. Recordemos que ya en octubre de 2015, Symantec despidió a varios ingenieros de su unidad de certificaciones al haber realizado validaciones extendidas para dominios sin el conocimiento de sus titulares, incluyendo portales como el propio ‘google.com’. En enero, otro auditor independiente detectó otros 108 nuevos certificados emitidos erróneamente, cifra que desde Google amplían a más de 30.000 certificados creados en los últimos años.

Desde Symantec afirman que Google ha exagerado estos problemas y aclaran que la mayoría de sus clientes de certificados SSL y TLS “necesitan saber que esto no requiere ninguna acción en este momento”, según reza un comunicado oficial.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.