Google, Apple y Mozilla no reconocerán los certificados SSL/TLS de WoSign en 2017

La autoridad de certificación china ha perdido la confianza debido a un certificado fraudulento que emitió para GitHub.

Un elemento fundamental del sistema de certificados Secure Sockets Layer / Transport Layer Security (SSL / TLS) es que los proveedores de navegadores necesitan confiar en las autoridades de certificación que emiten los certificados de seguridad.

Para la china WoSign esa confianza se ha perdido y, como resultado, cientos de miles de sitios web podrían tener problemas en 2017, ya que Google, Microsoft y Mozilla no reconocerán los certificados emitidos por ella ni su afiliado StartCom.

La retirada de la confianza a esta autoridad certificadora se ha venido debatiendo al menos desde agosto de 2016, cuando se reveló que WoSign expidió un certificado SSL / TLS para uno de los dominios de GitHub sin la autorización de este. Mozilla y la comunidad de seguridad realizaron una extensa investigación a WoSign documentando al menos otros 14 problemas de seguridad diferentes.

“La investigación llegó a la conclusión de que WoSign, a sabiendas e intencionadamente, emitió certificados con el fin de eludir las restricciones de los navegadores y vulnerando los estándares como autoridad de certificación”, ha afirmado en un post Andrew Whalley, miembro del equipo de seguridad de Google Chrome.

En consecuencia, el navegador Google Chrome 56  ya no confiará en certificados de WoSign o StartCom emitidos después del 21 de octubre de 2016; Mozilla tampoco lo hará en los certificados emitidos después del 21 de octubre; y Apple, después del 30 de septiembre.

El impacto de la retirada de la confianza en WoSign y StartCom no es trivial. El proveedor de seguridad RiskIQ estima que aproximadamente 762.649 sitios web utilizan certificados SSL / TLS emitidos por ambas entidades.

WoSign y StartCom no son las primeras autoridades de certificación que son bloqueadas por los navegadores. En 2011, la holandesa DigiNotar también emitió certificados fraudulentos de SSL y fue bloqueada eventualmente por los principales navegadores.