A partir del 1 de noviembre, Google Chrome dejará de confiar en los sitios web que utilicen certificados de seguridad de una empresa llamada Entrust. Esto es muy importante porque Entrust es una empresa muy popular que fabrica estos certificados y muchos sitios web importantes los utilizan, como bancos, gobiernos e incluso empresas de tarjetas de crédito. ¡Google acaba de tomar una gran decisión para proteger a los usuarios de Chrome! El 27 de junio, anunció que dejará de confiar en los certificados de seguridad de dos empresas: Entrust y AffirmTrust (que Entrust compró en 2016). He aquí por qué esto es importante: Los certificados de seguridad son como pasaportes en línea: se aseguran de que su conexión a un sitio web esté cifrada y sea segura, como un túnel secreto entre su computadora y el sitio web. Entrust y AffirmTrust son actores importantes: Estas empresas son como las fábricas que crean estos certificados de seguridad y muchos sitios web los utilizan. Google ya no confía en ellas: Google dice que Entrust y AffirmTrust no han estado siguiendo las reglas para crear certificados seguros, lo que podría poner en riesgo a los usuarios. Google está impidiendo que Chrome confíe más en sus certificados. Esto es un gran problema porque significa que muchos sitios web tendrán que cambiar a certificados de seguridad diferentes antes del 1 de noviembre para evitar que Chrome los bloquee. La buena noticia es que esto hace que Chrome sea más seguro, pero la mala noticia es que algunos sitios web podrían estar luchando por hacer un cambio. ¿Por qué Google perdió la confianza? Google tiene una política que dice que estos certificados deben hacer que la navegación en Chrome sea más segura que el riesgo de tenerlos. Google dice que la respuesta de Entrust a los problemas de seguridad pasados ​​no ha sido lo suficientemente buena, y esto hace que Google se pregunte si se puede confiar en Entrust. ¿Cómo ha respondido Entrust Digital a esto? En una publicación del 21 de junio en el Foro de Navegadores de Autoridades de Certificación, el presidente de soluciones de seguridad digital de Entrust, Bhagwat Swaroop, dijo que algunos incidentes recientes no se informaron correctamente al foro CA/B. Admitió que su decisión de no revocar los certificados afectados fue incorrecta. Swaroop aclaró que ninguno de los lapsos fue malicioso o intencional. Explicó que, como CA global, Entrust debe equilibrar las necesidades de los programas raíz y los suscriptores, especialmente para la infraestructura crítica. A veces, no lograron este equilibrio correctamente. Swaroop prometió que Entrust realizará cambios organizacionales y culturales duraderos para recuperar la confianza de los programas raíz y la comunidad. Entrust, miembro de larga data del organismo rector de la industria (CA/Browser Forum), expresó su decepción con la decisión. La empresa mantiene su compromiso con el negocio de certificados TLS y está trabajando en soluciones para garantizar un servicio continuo para sus clientes. Gizchina Noticias de la semana Parece que este compromiso ha llegado demasiado tarde en lo que respecta a Google. Un portavoz de Entrust le dijo a The Stack que «La decisión del Programa raíz de Chrome es una decepción para nosotros como miembro de larga data de la comunidad CA/B Forum. Estamos comprometidos con el negocio de certificados TLS públicos y estamos trabajando en planes para brindar continuidad a nuestros clientes». ¿Cómo afectará la medida a los usuarios del navegador Google Chrome? Si bien los certificados Entrust y AffirmTrust existentes emitidos antes del 1 de noviembre de 2024 seguirán siendo válidos hasta su fecha de vencimiento, hay un cambio crítico para los usuarios de la versión 127 de Chrome y posteriores (lanzadas en noviembre de 2024) en varias plataformas (Android, ChromeOS, Linux, macOS y Windows). Estas versiones más nuevas de Chrome ya no confiarán en estos certificados, lo que bloqueará de manera efectiva las conexiones a los sitios web que los utilicen. Esto significa que los usuarios de Chrome que se encuentren con un sitio web con un certificado bloqueado verán un mensaje de advertencia que indica una «conexión no privada». El navegador advertirá que el sitio podría estar suplantando a uno legítimo para robar información personal o financiera. En esencia, los sitios web con certificados Entrust o AffirmTrust emitidos antes del 1 de noviembre de 2024 deben migrar a una autoridad de certificación diferente para garantizar una experiencia de usuario fluida en los navegadores Chrome después de noviembre. Aquí está el pasaje actualizado que incorpora la información sobre la recomendación de Google y el retraso del impacto: Google insta a los usuarios a realizar la transición desde los certificados Entrust y AffirmTrust: si bien los certificados Entrust y AffirmTrust existentes emitidos antes del 1 de noviembre de 2024 seguirán siendo válidos técnicamente hasta su fecha de vencimiento, Google recomienda encarecidamente a los operadores de sitios web que realicen la transición a una autoridad de certificación (CA) diferente lo antes posible. Existe una posible solución alternativa: instalar un nuevo certificado TLS de Entrust antes de la fecha límite del 1 de noviembre podría retrasar temporalmente el bloqueo por parte de Chrome. Sin embargo, Google advierte que esto es solo una medida provisional. En última instancia, todos los sitios web con certificados Entrust o AffirmTrust emitidos antes de la fecha límite deberán migrar a una CA diferente para garantizar la confianza continua del usuario y evitar interrupciones en los navegadores Chrome después de noviembre. En resumen, no espere hasta el último minuto. Realizar la transición a una CA de confianza ahora evitará problemas de funcionalidad del sitio web para los usuarios de Chrome a partir de noviembre. Conclusión A partir del 1 de noviembre, Chrome bloqueará los sitios web que utilicen certificados de seguridad de Entrust, un proveedor importante. Esto se debe a que Google considera que las prácticas de Entrust son riesgosas. Si bien los certificados de Entrust existentes siguen siendo técnicamente válidos, es fundamental cambiar a una CA de confianza para evitar interrupciones en el sitio web para los usuarios de Chrome. Los propietarios de sitios web deben migrar ahora para garantizar una experiencia de usuario fluida a partir de noviembre. Esta medida mejora la seguridad de Chrome, pero puede obligar a algunos sitios web a buscar una solución.