Noticias

Siempre es bueno estar informados de lo que sucede en el terma de informática y en seguridad, es aún más importante conocer los alcances y atentados de certificados SSL (y sus implicaciones); así pues, les dejamos esta lista de noticias:

1. Hacking

• 1.1. La Autoridad Certificadora GlobalSign detiene toda actividad de emisión de certificados como medida de precaución después de que el autoproclamado ComodoHacker expresara haber hackeado otras 4 Autoridades Certificadoras (entre ellas COMODO donde sí logró emitir certificados falsos y afectar servicios de MS-Windows Update) ➠ GlobalSign Stops Issuing Digital Certificates After Hack. <== falsa alarma, nunca hubo penetración a GlobalSign y Sophos lo confirmó
  Nota aclaratoria:  Sophos confirmó que no hubo daño a ningún certificado y que durante/después del supuesto ataque, GlobalSign tomó los pasos requeridos para mitigar esta acción. No hubo daños colaterales demostrando que todo fue simplemente un hecho fortuito sin afectaciones directas ó a terceros.
  Otras fuentes con esta información:   01,  02,  03.
  
• 1.2. Sospechas sobre Irán después de que un Partner de COMODO emite certificados (inglés) Iran Suspected After Comodo Partner Issues Rogue SSL Certs
• 1.3. COMODO admite haber sido hackeada el 11 de marzo del 2011, que 2 de sus autoridades registradoras (RA) también y que el hacker logró emitir certificados, ver detalles en: 01, 02, 03.  Esta situación ya ha sido resuelta y COMODO no ha vuelto a sufrir más violaciones internas a sus servidores.
  Reporte oficial desde el sitio de COMODO.
• 1.4. Certificado FALSO de Google ponen en riesgo a GMail (inglés) Fake Google Certificate Puts Gmail at Risk
• 1.5. Symantec (VeriSign) ha sido hackeado repetidamente en el año 2010 y 2011.
  Más información:  01, 02 (Symantec despide a parte de su staff), 03, 04, 05, 06.
• 1.6. Validador de certificados indicando si su sitio web está o no en riesgo a partir del 8 de agosto del 2017 por el Issue de Symatec vrs. Google.
• 1.7. Google dejará de mostrar la barre verde en certificados de Symantec por fraude en la emisión de 30,000 certificados SSL EV. Google Groups Forum. Más info en 01, 02 y la explicación de esta falla al estilo Symantec (nota que el SSL Cert de su base de datos tiene un error). Validador de errores.
• 1.8. HOT ➟ Symantec indica que Google exagera y que no fueron 30,000 certificados, sino tan sólo 127.
• 1.9. GoDaddy revoca 9000 Certificados SSL después de encontrar que su código de validación ha sido cambiado y de forma no intencional, permitió a que varios servidores que estaban configurados de un modo particular, pidieran hacer un bypass (salto) en el proceso de autenticación de GoDaddy, lo cual es necesario para entregar un certificado SSL.  Leer en otras fuentes de información  01 y 02.
• 1.10. Por esto es que debe actualizar su Sistema Operativo constantemente, caso contrario podría estar confiando en certificados revocados y usted sin saberlo!
• 1.11. Webinar de GMO GlobalSign Inc. sobre el tema de la disputa entre la propuesta de Google a Symantec en cuanto al tema de los certificados de Seguridad SSL (2016~2017~2018).
• 1.12. Symantec VENDE su negocio de SSL/TLS a DigiCert por situación adversa con Google.
• 1.13. Francisco Partners adquiere el negocio SSL de COMODO, esto debido al gran impacto que se generó por la venta de Symantec a DigiCert del segmento de Certificados SSL por el castigo de Google. Todos reaccionan y buscan oportunidades en la web.
• 1.13. Trustico (un reseller de DigiCert en Reino Unido) entra en conflicto con DigiCert al enviarle 23,000 llaves privadas para revocar certificados que fueron emitidos por Symantec y que en Marzo del 2018 no serían reconocidos por Google Chrome.
  DigiCert revoka los 23,000 certificados por riesgo de privacidad y Trustico no da más explicaciones. GlobalSign por su parte, anuncia estratégicamente que nunca perderá sus llaves pues no las almacena internamente por seguridad (recuerde que las llaves .KEY nunca deben salir de su organización).
  LEA AQUÍ, todos los hechos puntuales para estar más al tanto (inglés)
• 1.14. Millones de sitios con certificados DigiCert/Symantec, han sido etiquetados como NO SEGUROS durante el mes de Julio por un update de Google Chrome.
• 1.15. DigiCert anula más de 50,000 certificados EV por errores en su emisión (11-JUL-2020).

 

2. Expansiones

• 2.1. Symantec compra el segmento de certificados de seguridad de VeriSign: (actualizado a Octubre 2018, Symantec vende su negocio de DigiCert quien fue el mejor postor de un negocio que fue castigado por Google por mala errores en la gestión)
  • 1.1 Directo de Symantec (leer más)
  • 1.2 CNN informa de la adquicisión (leer más)
• 2.2. Symantec adquiere GeoTrust (leer en Wikipedia)
• 2.3. Symantec adquiere Thawte (leer en Wikipedia)
• 2.4. Mejore sus ventas en línea con soluciones seguras
• 2.5. DigiCert planea adquirir Symantec después de que Google oficialmente decide no aceptar más certificados de Symantec. >>HOT <<
• 2.6. GlobalSign se une al Cloud Signature Consortium fundado por Adobe en el 2016, convirtiéndose en la primera Autoridad Certificadora en estar en el Adobe Cloud Signature Partner Program y en pertenecer al Cloud Signature Consortium, lo que permite a GlobalSign estar en un nivel más elevado y aún en mejores condiciones para proporcionar servicios de firma digital a un mercado de gran alcance a través de estándares, integraciones y alianzas sólidas.

 

3. Updates

• 3.1. Amazon desea incursionar en el mercado de Certificados Digitales SSL (inglés)
• 3.2. Sobre la transparencia de Certificados y qué dic Google
  • 3.2.1 Información de Google aplicable para el navegador Chrome
  • 3.2.2 Política de Transparencia de Certificados de Google
  • 3.2.3 GlobalSign inscribirá sus certificados DV y Alpha SSL en Registros CR, conforme a los requerimientos de Google (para los EV ya lo tenía, ahora lo hace para los otros certificados)

  A partir del 30 de agosto (del 2016), GlobalSign estará actualizando los productos SSL de validación de dominio (DV y Alpha) para cumplir con la Política CT de Google. Si usted no esta familiarizado con Certificate Transparency, es un sistema de monitoreo que ayuda a proteger a cualquier propietario de dominio en contra de diferentes tipos de amenazas basadas en certificados, incluyendo certificados usados de forma errónea, certificados adquiridos de forma maliciosa, y Autoridades Certificadoras no confiables. Usted puede leer un poco más en el siguiente link.
  
  GlobalSign actualizará su proceso de emisión de DV y Alpha SSL para publicar certificados DV y Alpha SSL a registros CT e incluir el certificado de firma de sellado de tiempo (SCTs) en todos los certificados emitidos DV y Alpha SSL. Certificados emitidos antes del 30 de Agosto del 2016 no se verán afectados y no serán publicados o actualizados; sin embargo nuestros clientes pueden reemitir sus certificados si ellos desean cumplir con la política CT de Google.
  
  Con este cambio, Todos los certificados validados de dominio de GlobalSign cumplirán con el anuncio de Google de Mayo de 2016 con respecto al alcance de la Política de Google de Certificate Transparency (CT). Nosotros hemos incluido SCTs en nuestros certificados EV SSL por más de un año y estamos planeando en incluir los Certificados de Validación de Organización (OV) en el futuro cercano.
  
  La nueva política ha sido expandida para cubrir todos los tipos de certificados SSL (ya no solamente SSL de Validación Extendida). Para los certificados EV que no cumplen con la política, Chrome hace cumplirlo no mostrando la barra verde. Chrome no ha proporcionado cambios para certificados que no son EV; de todas formas, nosotros recomendamos cumplir con esto de forma temprana para así evitar recibir tratamiento de navegador degradado antes de la expiración y renovación del certificado.
  
  GlobalSign sigue las políticas de Certificate Transparency y la política de CT de Google para promover un ambiente online transparente y abierto.
  
  Si usted tiene alguna pregunta o inquietud, por favor no dude en contactarnos.
  
  Saludos Cordiales,
  
  Equipo de Soporte de GlobalSign
  US +1 603-570-7060 | UK +44 1622 766 766 | EU +32 16 89 1900
  [email protected] | Live Chat
  www.globalsign.com/es/

  • Más por venir...
• 3.3. Cambios en los certificados de firma de código (CodeSigning SSL Certs). Fuente directa de GlobalSign (inglés). Traducción general del fabricante al Español:

  Actualización importante relacionada con los requerimientos mínimos del Certificado Code Signing (Firma de Código) – efectivo enero 30 2017
  
  Es posible que sepa que el Grupo de Trabajo de Firma de Código recientemente publicó las primeras directrices estandarizadas para la Firma de Código. Estas directrices son administradas por el Consejo de Seguridad de la Autoridad de Certificación (CASC) y fueron creadas para asegurar que todas las Autoridades Certificadoras (CAs) se adhieran al mismo conjunto de políticas de emisión y gestión estandarizadas. Puede leer los requisitos completos en la documentación oficial aquí: Requisitos mínimos para la emisión y gestión de certificados de Firma de Código públicamente confiables.
  
  Con la publicación de estas directrices, Microsoft será la primera plataforma en adoptar los Requisitos Mínimos y ha fijado un plazo de cumplimiento del 1 de febrero de 2017. Para cumplir con estos requisitos, GlobalSign implementará los siguientes cambios que serán efectivos a partir de enero 30, 2017:
  
  

  • Ofrecer un Certificado de Firma de Código Multi-Plataforma estándar para usar con todas las plataformas (Microsoft Authenticode, Adobe Air, Apple, Mozilla & Netscape Objects, Macros & VBA.
  • Proporcionar un UBS Token con todos los certificados de firma de código multi-plataforma estándar para el almacenamiento de llaves privadas
  • Incluir estado y / o ubicación como un campo obligatorio dentro del proceso de ordenación que se incluirá en el campo Nombre de certificado "SubjectDN".
  • Proporcionar dos nuevos URLs de Sellado de Tiempo para cuando se use firma de código.

  
  Impacto al usuario final

  Para satisfacer los nuevos Requisitos Mínimos, con la necesidad de emitir un Token de Hardware USB con cada Certificado de Firma de Código nuevo y renovado, GlobalSign ha revisado cuidadosamente su actual política de precios.
  
  A partir del 30 de enero de 2017, GlobalSign aumentará los precios de los certificados de firma de código para sus clientes directos y socios para incluir el costo adicional del token.  Podrá ver los nuevos precios en el sitio web a partir de esta fecha.
  
  Impacto a Clientes existentes (Efectivo enero 30, 2017)
  

  • Emisión de Certificado Nuevo– Todos los Certificados de Firma de Código recién emitidos recibirán un Token de Hardware USB para almacenar el certificado y proteger la llave privada. Además, habrá una opción estándar de firma de código para su uso con múltiples plataformas, ya que las opciones de firma de código específicas de la plataforma se integrarán en un solo producto.
  • Renovación del Certificado – los clientes existentes que deseen renovar su certificado de firma de código recibirán un hardware USB para almacenar el certificado y proteger la clave privada.
  • Reemisión de Certificados – Los clientes existentes que necesiten volver a emitir su certificado de firma de código (emitido antes del 30 de enero de 2017) no se verán afectados por este cambio y no necesitarán todavía un hardware USB.
    Nota: Esto está sujeto a cambios en el futuro.
  • Timestamping (Sellado de Tiempo) – Tanto los clientes de Firma de Código Estándar como los de Validación Extendida (EV) deben cambiar a la utilización de las nuevas URL de marca de tiempo enumerado anteriormente.

  Tenga en cuenta que estos cambios se refieren principalmente a los Certificados de Firma de Código Estándar. Los Certificados de Firma de Código EV se verán afectados mínimamente, ya que este tipo de certificado cumple actualmente con los nuevos Requisitos Mínimos.
  
  Para mayor información, por favor consulte nuestro blog: ¿Qué significan los nuevos requisitos de certificados de firma de código para los desarrolladores?, no dude en Ponerse en contacto con nosotros.
  
  Saludos,
  
  Equipo de Soporte de GlobalSign
  US: 1-877-467-7543 | EU: +44 1622 766 766
  Chat Now | Submit a Ticket

• 3.4. Migración de SHA-1 a SHA-2 (SHA-128 a SHA-256) y tamaños de llave de 1024-bits a 2048-bits

• 3.4.1. SHA-2 Resource Center & SHA-2 Rollout (GlobalSign),
• 3.4.2. Guías sobre certificados de 1024-bits (GlobalSign),
• 3.4.3. Google to display warnings on sites that use SHA-1 certificates (GlobalSign),
• 3.4.4. 3 Easy Steps to Migrate your Certificates from SHA-1 to SHA-256 (GlobalSign),
• 3.4.5. Migración del algoritmo hash SHA-1, migración a SHA-2 (Symantec) fecha límite diciembre 2015 y upgrade de llaves de 1024-bits a 2048-bits (Symantec), fecha límite diciembre 2013.,
• 3.4.6. Certificados SSL SHA-2 y por qué usted puede necesitar SHA2 (DigiCert)
• 3.5. Diferencias entre llaves de 1024, 2048 y 4096-bits
• 3.6. Problemas con MS-Exchange después del 1 de noviembre del 2015
• 3.7. Costa Rica emite decreto donde establece como fecha límite para la transición a IPv6 el 30 de junio del 2015, esto implica que en el tema de Certificados de Seguridad SSL y CodeSigning, se debe contar con los mecanismos de CRL y OCSP ofrecidos por la Autoridad Certificadora en forma dual de IPv4 e IPv6 a los navegantes.
  Más información:  01 y 02 (normativa # 049-MICITT, art. 06, 23 de mayo del 2013, La Gaceta 98)
• 3.8. Certificados DV y OV no podrán ser emitidos por más de 3 años a partir del 20 de abril del 2017 de acuerdo a una política del CA|Browser Forum. Más información aquí.
• 3.9. Nuevos períodos de validez para certificados de seguridad SSL/TLS se reduce a 13 meses en SEPTIEMBRE 01, 2020: certificados de más de 2 años no volverán a ser reconocidos:
  1. 3.9.1. A partir del 01-SEP-2020, Apple Safari no reconocerá certificados de seguridad de más de 398 días de validez
  2. 3.9.2. Informe directo de Apple.
  3. 3.9.3 GlobalSign:
     • 3.9.3.1. Emisión de certificados será por no más de 397 días
     • 3.9.3.2. Efectos sobre certificados actuales y otros detalles.
• ...

 

4. Certificados SSL para dominios .local ó direcciones IP

(sudominio.local)

CA/B Forum habla sobre la restricción de emitir certificados SSL para ciertos formatos ya no autorizados, en pocas palabras:

• 4.1. Ninguna Autoridad Certificadora (CA) podrá emitir certificados SSL de ningún tipo si este expira posterior al 1 de noviembre del 2015 y dentro de su SAN o nombres alternativos posee:
  • un dominio finalizado en .local
  • posee una dirección IP interna
  • sólo se podrá obtener un certificado IntranetSSL para uso en la Intranet, si la Autoridad Certificadora lo permite y se hace un cruce de certificados raíz (no todas las CA tienen esta tecnología)
• 4.2. Adicionalmente, posterior al Octubre 1, 2016, todas las CA's deberán revocar cualquier Ceritificado que posea en su SAN ó nombre común una dirección IP ó nombre.local, la solución es un certificado SSL IntranetSSL para uso interno de la organizción.
• 4.3. Miembros del CA|B
• 4.4 Artículo de GoDaddy(inglés)
• 4.5. Otros artículos:
  • 01-Requerimientos SSL para un Exchange cuando las autoridades certificadoras no le emitirán certificados (inglés),
  • 02-Evite ciertos nombres en certificados SSL para Exchange 2013 (inglés)

 

5. Otros

• 5.1. Nuevos períodos de validez y requerimientos de acuerdo al CA|B Forum para la emisión de certificados (en inglés), aplica a partir del 01 de abril del 2015.
• 5.2. GlobalSign Comunicado importante (actualización de Certificado Intermedio), Cambios a SSL que contienen direcciones IP, Compatibilidad con MS-Windows (otra fuente)
• 5.3. Nuevos períodos de validez para certificados de seguridad SSL/TLS se reduce a 13 meses en SEPTIEMBRE 01, 2020: certificados de más de 2 años no volverán a ser reconocidos:
  1. 5.3.1. A partir del 01-SEP-2020, Apple Safari no reconocerá certificados de seguridad de más de 398 días de validez
  2. 5.3.2. Informe directo de Apple.
  3. 5.3.3 GlobalSign:
     • 5.3.3.1. Emisión de certificados será por no más de 397 días
     • 5.3.3.2. Efectos sobre certificados actuales y otros detalles.