¡CUIDADO! Sus certificados SSL peligran.

El dia 19 de Enero de 2017 se publicó un post en el grupo mozilla.dev.security.policy con una serie de mensajes relacionados con la compañía Symantec. Concretamente se comentaban aspectos técnicos de su entidad de certificados de seguridad SSL. En ese post, y otros relacionados, se cuestionaba la validez de algunos certificados emitidos por Symantec y varios de sus socios, como Verisign, Equifax, RapidSSL, GeoTrust o Thawte.

Después de la pertinente investigación, se toma conciencia de que esos certificados no son totalmente válidos, y es aquí donde el equipo de Google Chrome toma la decisión, cuanto menos controvertida y polémica, de dejar de confiar en todos los certificados de esa compañía y sus subsidiarias. Google piensa que Symantec no está haciendo las cosas bien. De hecho, lo relacionan con otro incidente parecido en 2015, y decide eliminar totalmente la confianza en esos certificados en unos pocos meses. Se puede ver el comunicado original de Google Chrome en este enlace.

En síntesis, todos los certificados emitidos por Symantec o sus empresas colaboradoras antes del 1 de Junio de 2016 deben ser retirados en una primera fase antes de Abril de 2018, y en una segunda fase, absolutamente todos los certificados emitidos por el grupo de empresas de Symantec antes de Octubre de 2018. Es decir, una catástrofe, ya que Symantec es uno de los líderes , si no el líder, en emisión de certificados.

 

 

Por su parte, Symantec tomó la decisión de elegir a otra compañía, DigiCert, para que emita los certificados en su nombre y, además, venderle la parte de ese negocio mientras vuelve a construir una nueva infraestructura de seguridad para emitir nuevos certificados SSL. Es decir, que ahora es DigiCert quien tiene que actualizar los certificados SSL de los muchos clientes afectados.

Las consecuencias de todo este proceso son principalmente dos, y ambas suponen un trabajo extra y una toma de conciencia para todos los administradores de páginas web con algún tipo de certificado de seguridad:

1) El cifrado de la página web es potencialmente inseguro y alguien podría aprovecharlo.

2) Los usuarios que accedan a la página web afectada con Google Chrome recibirán un aviso de seguridad primero, y les impedirá el acceso después.

Es decir, no solo el certificado SSL podría estar siendo aprovechado por algún atacante, sino que además Google va a impedir a todos los usuarios de Chrome acceder a esas páginas web. Primero, enviará un mensaje avisando de la posible inseguridad de la página web, y unas semanas después , el 15 de Octubre, cuando la última beta de Chrome (versión 70) sea liberada a estable, impedirá el acceso total a todos los webs afectados.

Por tanto, Google impedirá acceder a tu web si tienes un certificado vulnerable.

La cuenta atrás ya ha comenzado. Desde el pasado 15 de Marzo, las primeras versiones Beta ya están circulando. Y en las próximas semanas empezaremos a notarlo mucho más dependiendo de la fecha de emisión del certificado que tengan los usuarios instalados y el despliegue que haga Google de las versiones Chrome. El resto de navegadores, como por ejemplo Internet Explorer , Safari o Mozilla Firefox, no tendrían problemas con esos certificados pero sí que se recomienda hacer la actualización.

Según Google Chrome se vaya actualizando de versión (se puede consultar las fechas aquí) se aproximará el momento en el cual Google impedirá que se puedan visualizar las páginas con certificado inseguro. Y es entonces cuando empezarán las prisas.

 

¿ME DEBO PREOCUPAR?

Más allá de los aspectos técnicos de seguridad , que son importantes y sólo por eso merecería la pena actualizar, hay que tener en cuenta que Google Chrome sigue siendo el líder en el segmento de navegadores Web de escritorio, con casi un 60% de prevalencia en el mercado según vemos en https://netmarketshare.com/

 

 

Si echamos un vistazo a las estadísticas en Móvil, también sigue siendo el líder con mayor cuota del mercado aún, frente a su inmediato perseguidor en iOS:

 

 

Estos gráficos nos demuestran que si no se actualizan los certificados en tiempo y forma, un 60% de nuestro tráfico puede sufrir algún tipo de problemas. Podemos tener una bajada de la audiencia, ya sea porque los usuarios reciben una advertencia y se asustan, o directamente porque cuando intenten acceder al sitio, su Chrome se lo impedirá. Dependiendo de la cultura tecnológica del usuario, y de sus miedos, podrá entender la advertencia o no. Lo que no podemos es arriesgarnos a tener una bajada de tráfico y de visitas sin saber por qué.

 

¿CUÁNDO SUCEDERÁ?

Este proceso comenzó el año pasado, el 1 de Diciembre de 2017, y tiene dos fechas claves dependiendo de cuando se ha emitido el certificado:

1) Marzo 15 2018: Las primeras versiones Beta de Google Chrome comenzarán a impedir el acceso a algunos de los certificados. Se espera que el 17 de Abril de 2018 comience a publicarse las primeras versiones definitivas. Los certificados emitidos antes del 1 Junio 2016 dejarán de verse si no se han actualizado.

2) Octubre 15 2018: Las versiones beta distribuidas en ese mes impedirán el acceso a cualquier página con certificados del grupo Symantec, y se publicará a todos los usuarios a mediados de Octubre 2018.

En definitiva, a mediados de Octubre 2018 no se podrá acceder desde Chrome a ninguna web con certificados del grupo Symantec. Sólo se permitirá acceder a los que hayan sido re-emitidos a través de DigiCert y , por supuesto, los de otras compañías no afectados por este problema.

Para evitar eso hay que actuar.

 

¿QUÉ OCURRE CON DIGICERT?

Si tienes un certificado de Symantec o de alguna de sus empresas relacionadas, Verisign, Equifax, RapidSSL,GeoTrust o Thawte, debes cambiar el certificado SSL, usando la compañía DigiCert que se ha quedado con ese negocio.

¿Quieres comprobar si tu certificado está afectado? Puedes probarlo aquí: https://www.digicert.com/help/

Este cambio no acarrea coste económico directo. Los certificados van a ser re-emitidos totalmente gratis. No se necesita cambiar de empresa certificadora y lo único que se recomienda que se actualice.

Debes contactar con la compañía que te suministró el certificado, o al website donde lo compraste, y buscar la opción de renovación del mismo.

 

ALTERNATIVAS

Hay que tomarse este problema muy en serio. Si no se toman medidas podemos encontrarnos con que el tráfico a nuestras webs desciende de golpe y que no sepamos cuál es el motivo. Hay que recordar que el tráfico HTTPS está siendo promovido para su uso “por defecto” en todos los websites.

 

Usar otros navegadores no es una opción viable porque realmente dejaría fuera a todos aquellos usuarios que usan Google Chrome para acceder a su página web.

Es por ello que hay que tener un cuidado especial con dichos certificados.  Una opción alternativa es el uso de una CDN que gestione los certificados de forma autónoma por usted, ya que son los servidores frontera de la CDN quienes se ocupan de esa tarea. Por ejemplo, desde Transparent CDN, podemos gestionar la seguridad desde un punto de vista integral (protección anti ataques, protección de origen,etc). Además, contamos con servicio de WAF (firewall de aplicaciones web), para completar el conjunto de soluciones de seguridad web avanzada que complementan a la gestión de los certificados.

Otras opciones serían cambiar la entidad certificadora. Hay múltiples compañías que ofrecen certificados si usted no confía en lo que vaya a hacer DigiCert o Verisign.

 

RESUMIENDO

Los certificados de seguridad comienzan a ser un elemento mucho más importante de lo que han sido históricamente. Ya no es un elemento único de cifrado de las comunicaciones entre las páginas web y sus usuarios, sino que además sube la reputación del web de cara a las indexaciones y visibilidad en buscadores y permite a los propios usuarios ganar confianza en cualquier proceso transaccional o de comunicación cliente-proveedor.

Ningún sistema es inmune 100% a problemas de cualquier índole, ni siquiera de seguridad en una compañía tan grande como Symantec. Este conflicto entre Symantec y Google le ha costado a ambos (principalmente a los primeros) un gran disgusto y muchos millones de dólares, pero qué duda cabe que en un mercado tan delicado y grande, cualquier movimiento a favor de la seguridad debe estar bien visto.

La seguridad es un elemento imprescindible, y estos movimientos deben ser tomados en consideración cuanto antes. Pregúntele a su socio o aliado tecnológico de confianza por este asunto, ya que es importante disponer de equipo preparado y puesto al día para poder abordar problemáticas parecidas con la antelación suficiente. Vendrán más.

Hable con su socio tecnológico y actualice.