En un mundo donde la ciberdelincuencia está a la orden del día, conectarse a sitios web seguros es esencial para evitar inconvenientes. Una forma de lograrlo es ingresando manualmente el dominio deseado y asegurándose de que la URL se muestre con el prefijo HTTPS y el icono de un candado. Este proceso funciona mediante certificados TLS emitidos por autoridades de certificación (CA) de confianza. Si un sitio web carece de un certificado válido, los navegadores suelen alertar sobre los riesgos.
Certificados Entrust en la mira
Google Chrome, el navegador web más utilizado del mundo, bloqueará los certificados TLS emitidos por Entrust y AffirmTrust (propiedad de Entrust desde 2016). Google afirma que esta medida busca proteger a sus usuarios, ya que Entrust se ha visto envuelto en incidentes que han «erosionado la confianza en su competencia, fiabilidad e integridad como CA de confianza pública».
Esta decisión afectará significativamente a numerosos sitios web, ya que Entrust es una CA con casi tres décadas de trayectoria y clientes como MasterCard, Dell y gobiernos de varios países. Google no implementará el bloqueo de inmediato, otorgando un margen de tiempo para que los sitios web afectados cambien de proveedor.
Plazo y consecuencias
La medida entrará en vigor el 1 de noviembre de 2024 en las versiones de Chrome 127 y posteriores en Windows, macOS, ChromeOS, Android y Linux. A partir de esa fecha, los certificados de Entrust y AffirmTrust firmados después del 31 de octubre de 2024 no serán confiables por defecto. Los sitios web que los utilicen mostrarán un mensaje de advertencia.
Es importante destacar que los certificados firmados el 31 de octubre de 2024 o antes no se verán afectados y seguirán siendo válidos. Los certificados TLS tienen una validez máxima de 13 meses, por lo que los plazos se han reducido para aumentar la seguridad.
Impacto para usuarios y administradores
Para los usuarios, no hay necesidad de tomar medidas adicionales, más allá de estar atentos a las advertencias del navegador. Los administradores de sistemas y responsables de sitios web deben revisar qué certificados están utilizando y, si es necesario, cambiar a proveedores confiables antes del 1 de noviembre de 2024.
Los administradores pueden verificar el certificado de un sitio web en Google Chrome haciendo clic en el icono a la izquierda del nombre de dominio y seleccionando «El certificado es válido». En caso de que aparezca «El certificado no es válido», deberán tomar medidas correctivas.
Medidas adicionales y recomendaciones
Incluso cuando estos certificados dejen de aceptarse de manera predeterminada, los administradores podrán permitirlos manualmente. Google ha proporcionado instrucciones detalladas sobre cómo evaluar y simular estos cambios antes de que entren en vigor para minimizar las interrupciones.
Conclusión
La decisión de Google de bloquear los certificados de Entrust y AffirmTrust refleja un compromiso continuo con la seguridad y privacidad de sus usuarios. Este movimiento subraya la importancia de mantener altos estándares de seguridad y adaptarse rápidamente a cambios regulatorios y técnicos en el panorama digital. Las empresas afectadas tienen un plazo claro para realizar los ajustes necesarios y garantizar que sus usuarios no enfrenten interrupciones en el acceso a sus servicios.
vía: Google