EDICIóN GENERAL
241 meneos
2322 clics
Chrome rechazará los certificados TLS de Symantec existentes

Chrome rechazará los certificados TLS de Symantec existentes

Google ha perdido definitivamente la confianza en Symantec y anuncia medidas que afectarán a un gran número de sitios, aunque no con efecto inmediato. Google ha concluido una investigación de lo que consideró incumplimiento a gran escala de las reglas de la industria de la seguridad, por parte de Symantec, en relación con la emisión de certificados es SSL/TLS. Estos certificados son utilizados, entre otras cosas, para la transmisión cifrada de contenidos de sitios web mediante el protocolo HTTPS.

| etiquetas: chrome , certificados , tls , symantec
Comentarios destacados:                  
#2 #1 Esto tiene que ver que los de Symantec expedían certificados de alta seguridad sin comprobar una mierda.
¿Esto tiene que ver con la Neutralidad de la Red?
#1 Esto tiene que ver que los de Symantec expedían certificados de alta seguridad sin comprobar una mierda.
#2 para todo lo demás: Let's Encrypt
#4 Espero que simplemente sea un troleo. Let's Encrypt no emite más que una validación estándar de dominio y sus condiciones legales no ofrecen ningún tipo de responsabilidad. Un certificado básico de Comodo (EssentialSSL) ofrece una protección legal muy superior.
#13 ¿Legal? los unicos reconocidos a nivel "legal" en España, son los de la FNMT y autoridades validadas por ellos. Todos los demas, simplemente se limitan a cumplir con el estandar SSL o TLS.

Por lo demas, protección legal, ninguno de ellos (ya que no es su finalidad)
#29 para certificados para servidores web debe existir algún método de identificación opcional que hace que se muestre el nombre de host con un verde flamante en la barra del navegador. Aunque la mayoría de certificados expedidos no incluyen esa opción.
Si se valida la identificación de la empresa para uno o varios hosts o dominios, entiendo que también debe tener alguna repercusión legal.

Así, los certificados "legales" serían aquellos que incluyen la identificación de alguna persona física o jurídica. Con nombre y nº de identificación fiscal probablemente.
#62 Elimina el "debe existir" ya que no forma parte de ningun requisito legal. Lo que si es requisito legal es cifrar las transacciones, pero ninguna ley/norma/estandar "obliga" a usar EV (extended validation, o "el verde en la barra del navegador"). Al no existir obligación, no existe requisito o mandato legal, así que es algo opcional.

Realmente, a nivel legal es perfectamente valido generar un certificado casero con openssl y verificarlo con tu propia CA, ya…   » ver todo el comentario
#76 5 palabras más allá del "debe existir" está la palabra "opcional". Pudiera haberlo escrito mejor, sí.

Por otro lado, encuentro muy interesante lo que dices.
#13 ¿Qué es eso de la protección legal? Porque nunca he entendido la diferencia de precios de unos certificados a otros ni para qué sirven los seguros de millones de dólares que ofertan como reclamo.
Para mi la única diferencia, quitando algoritmos de cifrado y demás, es en el tipo del certificado, si es sin verificación de quien es el dueño pero que cifra igual, con verificación "cutre" que validan el número duns de la empresa y poco más antes de expedir el certificado y el EV que supuestamente harán una verificación más extensiva pero que nunca he contratado
#31 Efectivamente, la única diferencia está en las verificaciones que realizan a la entidad a la que le expiden la llave privada. Si no hay verificación, o la verificación no es suficiente es peor que no usar certificados.
#13 Vamos, como los que Symantec expedía haciéndolos pasar por EV...
#13 entiendo que es la alternativa fácil a un certificado autofirmado. Nada más.
#4 Let's cipher. To encrypt is to put something inside a crypt below the surface.
#73 Don't bullshit to me :troll:. Go ahead: letsencrypt.org/
#2 Pero además en la noticia habla de:
A partir del 1 de diciembre, Symantec dejará de ser una autoridad emisora de certificados, o CA (Certificate Authority), para convertirse en SubCA (Subordinate Certificate Authority).
#2 "Esto tiene que ver que los de Symantec expedían certificados de alta seguridad sin comprobar una mierda."

Eso es falso. Comprobaban que les hubieses ingresado el dinero en cuenta. :troll:
#22 Todo el rollo de los certificados no es más que un negocio.
#66 Es un negocio no te lo discuto. Pero es útil y necesario, sino, no funcionaria como negocio.
#2 ¡LUIS LÓPEZ YO TE INVOCO!

¿no era yo el único que recibía spam demencial de este hombre que trabajaba para una filial de Symantec en Londres, verdad?

Algunos correos que enviaba, traducidos al español como el culo, eran absolutamente delirantes. No se si buscar uno y subirlo a Artículos de Meneame, es algo digno de ser visto.
#1 Nope, a los usuarios les aparecerá un aviso en plan "Esta página no es segura" pero no afectará el rendimiento o uso de esa web, a quién no le va a gustar va a ser a los administradores de esas páginas que tendrán que pillar el certificado de otra empresa.
#15 Bueno, es que las páginas son menos seguras con los certificados de Symantec. Por ejemplo los cuestionarios de registro de una web pueden ser interceptados facilmente. Los datos personales puede que ya no sean privados.
#25 No, ese no es el problema. ES PEOR.

El problema es que si tu banco usa un certificado de esos, a lo mejor resulta que en realidad no es tu banco.....

Y el navegador traga, y te jura por snoopy que sí, que es tu banco.
#49 Es peor que eso.
Resulta que es muy fácil que cualquiera compre un certificado de symantec asegurando que ese cualquiera es tu banco. Y el navegador se lo traga.

Y eso aunque tu banco use certificados rencontra confiables.
#57 Coño!! es lo que he dicho xD xD
#64 no, porque no hace falta que tu banco use un certificado de esos.
#68 Pues yo no entro a una web de un banco sin certificado https ni harto de vino.
#69 ni tu ni nadie en su sano juicio :-)

Pero para que el engaño funcione, no hace falta que el banco utilice uno de los certificados "malos" ("de esos"). Esa es la diferencia entre #49 y #57.
y certificados EV por lo que veo.
La duda es a qué sitios afecta..
#5 Parece que hay 30.000 certificados. No creo que haya ninguna forma sencilla para verificar si alguno de ellos no corresponde realmente con la empresa.....
Y así es como Google se carga una empresa.
#6 ¿Google?

Es la empresa la que no ha hecho su trabajo. Deberían acabar varios en la cárcel. Es un tema muy muy muy grave.
#6 como te dice #9, es Symantec quien no ha hecho sus deberes...
Un certificado no es solo un churro de bits, es un servicio mediante el cual, alguien reconocido dice que cierto servidor/dominio pertenece a cierta empresa, y lo comprueba fehacientemente, no se fía de lo que se pone en una petición.
La base de un certificado es la confianza y si no hay validación del titular (EV = Validación Extendida) no hay confianza.. Cualquiera puede instalar una CA y emitir churros de bits como certificados, la cuestion está en la confianza en qeu alguien reconocido verifica quien está detras.
#9 Además de cobrarte una pasta.
#6 No es el unico negocio de Symantec. Dudo que se carguen a la empresa, pero podria suponer el fin de ese grupo.
Pero ellos se lo han buscado. El resto de navegadores tambien deberian rechazar sus certificados.
#6 si Google no hacia nada y luego ocurría algo a gran escala culpa de los certificados, le íbamos a echar la culpa a Google por no controlar los certificados que reconoce.
No sé si es bueno o malo que un actor acumule tanto poder (me refiero a Google). En estos momentos, con la cuota de mercado de navegadores que tiene, cualquier decisión de penalizar o bloquear algún contenido puede tener consecuencias funestas para algunas empresas.
Y el ritmo además parece que lo marcan ellos.
En el caso de Symantec, les viene bien el toque de atención de Google, pero en otros casos :-/
#8 Será por navegadores, no estamos en la época "buena" del IE, lo que es un toque de atención muy fuerte para symantec.
#8 Seamos serios. Google tiene mucho poder por su buscador... no tanto por Chrome

PD: Posteado desde mi Chrome.
#23 Mmm... hace tres años, te diría que si. Ahora mismo no lo tengo tan claro.
#41 Ostrás, pues tienes razón. Estoy desactualizado. Se ve que la tecnología móvil ha revolucionado las estadísticas
#42 Los iPhone serán muy bonitos y tal, pero el grueso del mercado de móviles es Android... que viene con Chrome preinstalado por lo general.  media
#8 No ha bloqueado contenido, ha tomado una medida de seguridad por incumplimiento de una empresa que debería velar por esta. Para algo que hacen bien de "bloqueo" no se lo recrimines. No han bloqueado contenido, a las webs con esas mierdas de certificados podrás acceder. Solo te saldrá un aviso en el navegador.
#46 Técnicamente tienes toda la razón. En la práctica, al usuario con perfil no técnico (es decir, la mayor parte de los usuarios) le saldrá un aviso de "estás accediendo a una página no segura" o similar. El efecto es el mismo que si estuviese bloqueando el acceso.

En todo caso, no lo recriminaba. Solo reflexionaba sobre el poder que tiene hoy en día Google tal que es capaz de meterle miedo a un grande como Symantec... y todos los clientes que le han comprado el certificado últimamente.
#53 Eso va a pasar siempre a todas las escalas. Siempre que gran parte del negocio de una empresa dependa de que otra la acepte habŕa cosas así. Es mas un problema de dependencia por falta de diversificación que de tamaño. Este suceso podría darse en empresas en ambito local, porque uno se haya enfadado contigo y no te sirva, y no haya otra cosa similar en la ciudad. Ya te toca irte a otro lado, con el gasto que esto implica, y por lo tanto la subida de precio del producto o la reducción de beneficios, si no es que son las dos cosas.
#46 Exacto, te saldrá el típico aviso de certificado no reconocido y que si quieres añadir una excepción. Eso sí, si ocurre algo desagradable por haber añadido una excepción para un certificado no reconocido, las cuentas al maestro armero…
#58 Yo no soy mucho de ayudar a windowseros con problemas, sobre todo porque conozco los malo habitos de los que me piden ayuda y me jode mucho trabajar gratis para una empresa porque alguien se ha puesto software piratilla. Pero una de las cosas que que debería mirar y empezaré a hacerlo las veces que me digno a ayudar, son la lista de excepciones. Al que tenga alguna rara lo saco a patadas de mi casa diciendole que no me haga perder el tiempo.

EDIT: Hablo de windowseros por dos motivos, nunca nadie me ha pedido ayudar por infección o problemas con la seguridad en distros linux, y porque suelen ser los usuarios menos concienciados con la seguridad, ademas de los de android, pero ahi tiro de solución estandar "flashealo" xD.
Esta noticia da ganas de confiar en Norton también :troll:

(Norton by Symantec)
#11 Aaaah, aquellos tiempos del Norton Commander...  media
#21 Y lo bien que nos vienen los clones actuales del mismo ...  media
#24 Fue una de las primeras cosas que necesité cuando hice un cambio a linux :-)
#32 Yo lo primero que necesité fue una iso y luego un pendrive. :-D
#34 Pendrives... me acuerdo de mi primera Slackware en un chorrón de discos de 3.25" :roll:
#39 Si, yo también soy de esos.... año 93 (o por ahí, no me acuerdo).

Luego Windows 95 me lo hizo replantearmelo una temporada, pero no duró. Mi último Windows fue un 98SE y ya era de uso esporádico.

De Slackware a RedHat (Maravilloso RH 6.2) y cuando sacaron el engendro de Fedora, Debian. Y hasta hoy.
#24 Ese Midnight Commander :-)
#24 Nunca me llevé bien con el MC, el FCL (linux) /FCW (windows) es mucho mas parecido (y 100 veces mejor) que el NC
Imprescindible para el uso diario  media
#24 Toda la razón. El Midnight Commander es la primera aplicación que instalo después de instalar linux.
#21 En mi empresa todavía lo usan en su versión para windows.
¿Alguien conoce en detalle las razones argumentadas por Google para considerar la infraestructura de emisión de certificados de Symantec como inadecuada o puedo sospechar que esto es un abuso de posición dominante de mercado?
#18 Eso digo yo ¿hasta qué punto lo que dice Google es tal y como lo cuenta?. Symantec cuenta otra historia bien diferente.
Y teniendo en cuenta que Google se quieren hacer los amos de todo, pues vete a saber
#18 Se ve que la cagaron con 127 certificados y que una vez hecha la cagada los de Google empezaron a investigar la jugada y encontraron más de 30 000 certificados con problemas. O algo así he leído entre líneas en los 3 enlaces.
Y luego Symantec dice "que eso le pasa a todos", "es la primera vez que me pasa", "te aseguro que yo lo intento" ... etc, a su vez argumentando que Google no carga contra todos los CA sino sólo contra ellos (dejando caer que Google tiene algún interés oculto en putearlos, que puede ser también)
#28 Es que tan sólo soy capaz de encontrar lo de los "127 certificados" y en principio no parece que sea razón suficiente como para dejar de reconocer a Symantec como CA.
#35 Since January 19, the Google Chrome team has been investigating a series of failures by Symantec Corporation to properly validate certificates. Over the course of this investigation, the explanations provided by Symantec have revealed a continually increasing scope of misissuance with each set of questions from members of the Google Chrome team; an initial set of reportedly 127 certificates has expanded to include at least 30,000 certificates, issued over a period spanning several

…   » ver todo el comentario
#18 Ninguna. Google no considera la infraestructura de emisión de certificados inadecuada. De hecho una infraestructura de esas la monta cualquiera en su casa en 10 minutos. Y ese es el problema.

El problema es que Symantec vendió unos 30000 certificados EV sin hacer las comprobaciones mínimas para un certificado de este tipo. Es decir, pudo certificar perfectamente a Cacos y Ladrones SL como BBVA España.

Accede ahora al BBVA y fíate que no hay un phising....
#18 Google no está en el negocio de la emisión de certificados.
A ver, voy a intentar poner un ejemplo (de los muchos que se podrian poner con el tema) para gente no tecnica, sepa lo grave que es el tema...

Supongamos que tu te conectas a facebook... facebook usa un cifrado de tal forma que haya quien haya en tu conexion (por ejemplo la wifi del curro) nadie pueda acceder a tu usuario/contraseña.

Tu ordenador "confia" en unas cuantas empresas que venden estos certificados, y para que te vendan un certificado vinculado a un nombre de dominio te…   » ver todo el comentario
#27 Para hacerlo más llano todavía, es como si el estado Español diera DNI y pasaporte a personas sin verificar si realmente son ciudadanos españoles y los otros países se tuvieran que fiar de esos DNIs y pasaportes.
Es curioso porque a día de hoy Google lista a symantec como CA autorizada para google.com :-)

$ host -t caa google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:

google.com has CAA record 0 issue "symantec.com"
google.com has CAA record 0 issue "pki.goog"
Vaya mierda. Eso hará que más webs actualicen los certificados y habrá mas sitios por los que no pueda navegar.
#55 hombre, navegar puedes navegar igual. Pero el navegador te saca antes la "pantalla del miedo".
#56 no. me da error de TLS si está en https en algunas páginas. Por ejemplo las imágenes de las wikias (no wikipedia, wikia).
#55 A menos que uses un navegador anticuado no deberías tener problemas en acceder a absolutamente ninguna web con cifrado moderno.
#75 ahí está la cuestión.
DigeCert acaba de anunciar la compra de toda la división de certificados de Symantec : www.digicert.com/news/digicert-to-acquire-symantec-website-security-bu
comentarios cerrados

menéame