SmythSys IT Consulting

Los certificados SSL de Symantec dejarán de ser válidos. Hay que renovarlos

Como bien sabéis si leéis el blog (si hay alguien ahí jejeje) o si tenéis páginas web, este mundo ha cambiado de ser http a ser https (seguro y cifrado por certificado SSL). Por exigencias de los navegadores, empezando por Google Chrome.

En ese paso, los usuarios tenían varias opciones. O pagar un certificado de una entidad reconocida, o escoger un certificado gratuito, o usar los certificados que ofrecían los proveedores de hosting (gratis o de pago dependiendo de los proveedores). Algunos de estos últimos eran de Symantec, entidad reconocida de seguridad.

Hasta ahí todo bien, hasta que saltó la liebre y se empezaron a poner en duda los certificados de Symantec. Primero en un post de un grupo de noticias del grupo mozilla.dev.security.policy. Después, y debido a lo anterior, Google anunció un plan para dejar de dar soporte a esos certificados dado que se descubrió que no cumplían con los estándares de la industria:

Symantec’s PKI business, which operates a series of Certificate Authorities under various brand names, including Thawte, VeriSign, Equifax, GeoTrust, and RapidSSL, had issued numerous certificates that did not comply with the industry-developed CA/Browser Forum Baseline Requirements. During the subsequent investigation, it was revealed that Symantec had entrusted several organizations with the ability to issue certificates without the appropriate or necessary oversight, and had been aware of security deficiencies at these organizations for some time.

Symantec, tras algunas alegaciones en respuesta, decidió vender su sección de certificados a la empresa americana Digicert. La transición se hizo efectiva el 1 de diciembre del 2017.

Plan de Google.

  • A partir de la versión Chrome 66 (15 de marzo 2018 en Beta, 17 de abril 2018 en estable) no se aceptará ninguno de esos certificados expedidos antes del 1 de Junio del 2016.
  • Con Chrome 70 (alrededor del 23 de Octubre del 2018) ya no se aceptará ningún certificado que apunte a Symantec como raíz.

Más información aquí.

Firefox sigue un plan similar.

Firefox también va a rechazar dichos certificados con fechas muy similares. Aquí tienes los detalles.

¿Qué tienes que hacer para solucionarlo si tienes dichos certificados?

Al final la solución es renovarlo lo antes posible. Cualquier certificado renovado a partir del 1 de Diciembre 2017 ya será válido. Algunos certificados de algunos proveedores se auto-renuevan, pero es importante que lo compruebes. Las fechas claves son:

  • 15 de marzo de 2018. Si el certificado se ha emitido antes del 1 de junio de 2016, no estará soportado. Deberás renovarlo o o volver a emitirlo (un procedimiento  que se conoce como reissue)
  • 13 de septiembre de 2018. Si el certificado se ha emitido antes del 1 de diciembre de 2017, no estará soportado. Deberás renovarlo o hacer un reissue.

¿Qué pasa si no los renuevo?

Nada bueno. A tus clientes les saldrá un aviso en los navegadores de este estilo lo que da una imagen horrenda y echará atrás a muchos. No te arriesgues.

Deja un comentario

Resumen de nuestra Política de Privacidad

  • Responsable: SmythSys IT Consulting SLNE.
  • Finalidad: Gestionar y moderar los comentarios.
  • Legitimación: Necesitas dar tu consentimiento para publicar un comentario.
  • Destinatarios: Tus datos se alojan en los servidores de OVH.
  • Derechos: Tienes derecho a acceder, rectificar, limitar y suprimir los datos en la dirección del responsable (en nuestra política de privacidad).