StartCom y WoSign - Principales autoridades de certificación SSL - Prohibido por Google Chrome

Principales certificados SSL prohibidos por Google Chrome.

De acuerdo con los términos de un castigo anunciado por Google el año anterior, el gigante web ha emitido una declaración diciendo que ya no puede confiar en las autoridades de certificación TLS o SSL WoSign así como su subsidiaria, StartCom. Esto ocurre justo antes del lanzamiento de Chrome 61. ¿El motivo de esta prohibición? Bueno, según Google, las dos autoridades de certificación no cumplieron con los altos estándares esperados por parte de las CA.

Si bien es impactante, la medida difícilmente puede considerarse una sorpresa considerando cómo el equipo de seguridad de GitHub envió notificaciones a Google el 17^th Agosto del año pasado, con respecto al hecho de que WoSign, la autoridad certificadora china, había entregado un certificado base para uno de los dominios de GitHub a un usuario de GitHub no revelado sin solicitar ningún tipo de autorización.

¿Por qué Google tomó la decisión?

Una vez que se conoció la noticia de este problema, el equipo de Google inició una investigación completa. Esta investigación iba a ser pública en colaboración con Mozilla y la comunidad de seguridad en general. La investigación muy pronto arrojó algunas pruebas interesantes con respecto a varios otros casos que involucraron la emisión indebida de certificados por parte de WoSign.

Debido al resultado de la investigación, a Google no le quedó más remedio que disminuir la confianza de los certificados respaldados por StartCom y WoSign en los que se habían emitido antes del 21.^{S t} de octubre del año pasado. Además, el gigante de la tecnología se encuentra actualmente en el proceso de eliminar varios nombres de host de la lista blanca en el transcurso de diferentes versiones de Chrome desde Google Chrome 56.

Ahora, de acuerdo con el contenido de una publicación reciente en Google de Devon O'Brien, un ingeniero de seguridad de Chrome, la compañía finalmente eliminaría la lista blanca de la última versión de Chrome. Lo que esto significa es que Google ha decidido desconfiar por completo de los certificados StartCom y WoSign actuales. O'Brien dice que a partir de Chrome 61, la lista blanca ya no estará allí, lo que generará una desconfianza total de los certificados raíz existentes por parte de WoSign y StartCom, su subsidiaria, junto con los certificados emitidos por ellos.

De acuerdo con el calendario de desarrollo de Chromium, todos estos cambios que se implementaron serán visibles en el canal de desarrollo de Chrome en el transcurso de las próximas semanas. El canal Chrome Beta mostrará estos cambios a finales de julio de 2017, mientras que la versión estable reflejará estos cambios a mediados del mes de septiembre de 2017.

El año pasado, Mozilla y Apple revocaron su confianza en WoSign, y fue StartCom quien emitió los certificados para sus navegadores web debido a una serie de fallas técnicas y de administración.

Son certificados SSL retroactivos

Según Kathleen Wilson, jefa del programa raíz de confianza de Mozilla, encontraron pruebas de que WoSign y StartCom estaban retroactuando los certificados SSL para poder encontrar una forma de superar la fecha límite, lo que impedía que las CA emitieran certificados SHA-1 SSL. después del 1^{S t} de enero de 2016. Esta es una reclamación muy grave y podría tener importantes repercusiones para las autoridades de certificación SSL en el futuro.

Sin embargo, eso no es todo. Fue Mozilla quien también descubrió que WoSign había tomado la propiedad a tiempo completo de una CA diferente conocida como StartCom, pero no había revelado esta información, a pesar de que se mencionaba claramente en la política de Mozilla.

Los problemas con el servicio de certificados WoSign se remontan a julio de 2015, y esta información fue revelada al público el año anterior por Gervase Markham. Según el programador británico de Mozilla, un investigador no identificado se topó con esta supervisión de seguridad por accidente cuando intentaba recibir un certificado para “med.ucf.edu”. También había enviado una solicitud para "www.ucf.ed" y WoSign le había dado la aprobación, proporcionando el certificado para el dominio principal de la universidad.

Para probar esto, el investigador de seguridad utilizó el mismo truco contra los dominios basados en GitHub. Demostró su control sobre un subdominio y, sorprendentemente, WoSign también le dio el certificado para los principales dominios de GitHub.

Por lo tanto, a partir de septiembre de 2017 a finales de este año, cualquiera que visite sitios web que usen certificados StartCom y WoSign HTTPS recibirá advertencias de confianza en sus navegadores web.