Google está realizando algunos cambios serios en la seguridad de los certificados digitales en la web, anunció la compañía en su blog de seguridad. La gran noticia es que Google ya no confiará en los certificados de dos grandes empresas de seguridad, Entrust o AffirmTrust, debido a los repetidos fallos de seguridad.
Según Google, las empresas, que son Autoridades de Certificación (CA), han demostrado patrones de compromisos de mejora incumplidos, fallas de cumplimiento y ningún progreso medible en la rapidez con la que la empresa responde a los informes de incidentes divulgados públicamente.
Los certificados digitales son un archivo en línea que autentica y protege los datos de un sitio, y con frecuencia son el objetivo de los piratas informáticos. Explotar un certificado digital vulnerable puede ser un gran problema para la seguridad en línea, de ahí que Google se tome tan en serio la medida.
Como resultado de la decisión de Google, los usuarios de Chrome verán advertencias sobre conexiones no confiables a partir del 31 de octubre de 2024.
Los usuarios verán esta advertencia sobre los certificados de autenticación del servidor TLS cuando actualicen a Chrome 127+ y el error ERR_CERT_AUTHORITY_INVALID cuando accedan a este tipo de sitio. Los sitios que usan Entrust incluyen merrilledge.com, moneygram.com y ey.com.
Siempre puede verificar si una conexión es segura haciendo clic en el ícono «Tune» en Chrome a la izquierda de la barra de direcciones > conexión es segura > certificado es válido. Los propietarios de sitios web pueden estar tranquilos si el campo de la organización bajo el encabezado «Emitido por» no incluye Entrust o AffirmTrust.
Google aconseja a los propietarios de sitios web que cambien a un nuevo propietario de CA de confianza pública lo antes posible antes de la fecha límite. También es probable que esto pueda sentar un precedente para futuras acciones del gigante tecnológico con respecto a otros productos de Google.
Sin embargo, vale la pena señalar que los clientes empresariales tendrán la opción de seguir confiando en Entrust si eso es lo que eligen hacer.
Esta no es la primera vez que Google advierte a las empresas que limpien sus actos. En 2015, también le dieron un ultimátum a Symantec sobre los certificados HTTPS no autorizados que los empleados habían estado emitiendo. A pesar de las noticias de sitios etiquetados como poco confiables, hay formas de aumentar drásticamente la seguridad en Google Chrome, como cifrar sus contraseñas.
