¿Qué sucede con los certificados SSL de Symantec y Google?

4min

Hace unos meses, los  navegadores Chrome y Firefox anunciaron una actualización en sus políticas de seguridad para detectar los campos de formulario y mostrar si los datos que se introducían iban a ser enviados de forma segura o no, tal y como vimos en ¡No alarmes a tus visitas y evita los mensajes de seguridad en tu web!  Sin embargo,  poco después Google puso en entredicho la fiabilidad de los certificados emitidos por Symantec, un reconocido fabricante de soluciones de seguridad IT y, además, la mayor entidad certificadora de Internet. ¿Hasta qué punto afecta esto a los usuarios que tienen  un certificado SSL de Symantec en su página web? 

Expedidos por entidades certificadoras independientes y comercializados por empresas como Arsys, los certificados SSL  verifican la legitimidad de un sitio web y su dominio y proporcionan a las páginas web elementos visuales fácilmente reconocibles por los internautas, como el “https” o el candado en la dirección del navegador. Además, dependiendo del tipo de certificado, las certificadores también llegan a validar a la organización detrás de una página web y no sólo su dominio, así como incluir seguros de cobertura.

El progresivo aumento de la demanda de certificados SSL que han propiciado los navegadores  en los últimos años dio un giro inesperado a mediados del pasado año, cuando Google anunció que su navegador Chrome iba a dejar de dar soporte a los certificados de Symantec, que se comercializaban bajo las marcas Symantec, Thawte, Geotrust y RapidSSL, y argumentó que su estructura de certificación no era fiable. Y ahí comenzaron las dudas de los usuarios: ¿ya no sirve mi certificado?, ¿qué tengo que hacer para garantizar la seguridad a mis usuarios?

Índice

La respuesta de Symantec

La respuesta de Symantec no se hizo esperar. Puso varias alegaciones a las informaciones proporcionadas por Google y Mozilla, fabricante de Firefox, y, finalmente, Symantec decició desprenderse del negocio de los certificados SSL, que fue adquirido por DigiCert, una  empresa estadounidense especializada en soluciones de identidad y certificación digital.

A raíz de la adquisición, se estableció un plan para asegurar la continuidad de todos los certificados emitidos previamente, minimizando las implicaciones para los usuarios de los certificados de seguridad. Las fechas más relevantes de ese plan son:

  • 1 de diciembre de 2017. Se completa la migración a la infraestructura de certificación de DigiCert. Todos los certificados emitidos o renovados a partir de esta fecha son completamente fiables y válidos
  • 15 de marzo de 2018. Si el certificado se ha emitido antes del 1 de junio de 2016, no estará soportado. Deberás renovarlo o o volver a emitirlo (un procedimiento  que se conoce como reissue)
  • 13 de septiembre de 2018. Si el certificado se ha emitido antes del 1 de diciembre de 2017, no estará soportado. Deberás renovarlo o hacer un reissue.

En el blog de seguridad de Google encontrarás más detalle de esta información y de las fechas más importantes para los usuarios de certificados SSL de Symantec.

¿Mi certificado de Arsys es seguro?, ¿tengo que hacer algo?

Lo habitual en Arsys es que un certificado se renueve anualmente, así que la mayoría de los certificados SSL de Arsys están cubiertos y asegurados por el ciclo habitual de renovación de los mismos. Todos los certificados que se hayan contratado o renovado antes del 13 de septiembre 2018 se han actualizado ya usando los nuevos procedimientos de DigiCert. Así que el certificado SSL de Arsys es totalmente válido y seguro.

En el caso de que la renovación del certificado no se realice antes del 13 de septiembre de 2018, Arsys se encargará de realizar el reissue del mismo para sus clientes de SSL, manteniendo la misma fecha de validez y la misma información del certificado pero asegurando la cadena de confianza al realizar el proceso a través de DigiCert.

Para asegurar la validez de estos certificados durante el reissue del certificado, Arsys volverá a solicitar confirmación de los datos a sus clientes  por correo electrónico y esta información será remitidos al equipo de DigiCert encargado de la certificación del site. Por tanto, es imprescindible asegurarse de que la dirección de email indicada en el certificado está activa y en uso. Antes de que se realice este reissue del certificado, Arsys informará a sus clientes con antelación y no lo solicitará hasta haber comprobado la disponibilidad de la dirección de correo. Mientras tanto, y hasta el 13 de septiembre de 2018, el certificado actual seguirá siendo válido y aceptado por todos los navegadores.

Los servicios de alojamiento CloudWebs CompartidoHosting IlimitadoHosting WordPress de Arsys incluyen, de forma totalmente gratuita, un certificado SSL Basic.

Sergio Arias

Productos relacionados: