Google anuncia un importante cambio en la seguridad de Chrome: miles de sitios web tienen cuatro meses para adaptarse
En un mundo donde la ciberdelincuencia está a la orden del día, conectarse a sitios web seguros es clave para evitar cualquier tipo de inconveniente. Algunas de las vías que tenemos los usuarios para cumplir con este importantísimo objetivo es ingresar manualmente el dominio que queremos visitar. El paso siguiente es asegurarnos de que la URL se muestre con el prefijo HTTPS y, dependiendo del navegador, aparezca junto al icono de un candado.
A nivel interno, esto funciona bajo un esquema de certificados TLS. Estamos hablando de una especie de tarjetas de identidad digitales que son emitidas por las denominadas autoridades de certificación (CA) de confianza. Si intentamos ingresar a un sitio web que no tiene certificado o, por el contrario, tiene un certificado inválido, la mayoría de los navegadores se pondrán en alerta y nos informarán de los riegos que conllevaría seguir adelante.
Los certificados Entrust, en serios problemas
Google Chrome, el navegador web más utilizado del mundo, les cerrará la puerta a los certificados TLS emitidos por Entrust y AffirmTrust (esta última propiedad de Entrust desde 2016). La compañía de Mountain View dice que busca proteger a sus usuarios y que este movimiento se debe a que Entrust se ha visto envuelto en una serie de incidentes que “han erosionado la confianza en su competencia, fiabilidad e integridad como propietario de CA de confianza pública”.
Ahora bien, estamos ante una medida que no pasa desapercibida por su alcance. Cuando hablamos de Entrust nos estamos refiriendo a una CA de casi tres décadas de trayectoria con clientes como MasterCard, Dell, el banco estadounidense Chase Bank y gobiernos de diferentes partes del mundo, según Forbes. Google dice que el bloqueo no se realizará de manera inmediata, sino que dará cierto margen de tiempo para que los sitios web afectados cambie de proveedor.
En concreto, la medida entrará en vigor “aproximadamente el 1 de noviembre de 2024” en versiones Chrome 127 y posteriores (en este momento estamos en Chrome 126) en Windows, macOS, ChromeOS, Android y Linux. A partir de esta fecha, los certificados de Entrust y AffirmTrust cuya firma sea posterior al 31 de octubre de 2024 ya no serán de confianza por defecto. ¿La consecuencia? Los sitios web que todavía los incluyan mostrarán un mensaje de advertencia.
Ciertamente, ninguna compañía espera que sus usuarios se encuentren con un mensaje de advertencia como el que podemos ver en la imagen de portada de este artículo. Pues no solo se trata de un riesgo directo para la seguridad de los usuarios, sino también para la reputación de la compañía. Cabe señalar, eso sí, que los certificados firmados por Entrust y AffirmTrust el 31 de octubre de 2024 o antes no se verán alcanzados por este cambio, y seguirán siendo válidos.
Los certificados TLS no son eternos. Estos tienen una validad máxima de 13 meses. Al principio, sin embargo, los certificados tenían una validez más prolongada, pero los plazos se han ido reduciendo, precisamente, por cuestiones de seguridad. Un certificado nuevo es menos vulnerable. Com podemos ver en las capturas de pantalla, páginas como mastercard.es y dell.com tienen certificados que caducan el 11 de julio de 2025 y el 24 de julio de 2024, respectivamente.
Si queremos saber qué certificado está utilizando un sitio web en Google Chrome, simplemente debemos hacer clic en el botón que aparece a la izquierda del nombre de dominio. Aquí nos puede aparecer La conexión es segura. En este caso, hacemos clic allí y después en El certificado es válido. Si nos aparece El certificado no es válido, hacemos clic sobre ese mensaje y nos muestra los detalles. En el resto de los navegadores los pasos a seguir suelen ser parecidos.
Como usuarios, no tenemos nada que hacer. Simplemente estar atentos para evitar cualquier tipo de inconveniente. En caso de que seas un administrador de sistemas, debes saber que, incluso cuando estos certificados dejen de aceptarse de manera predeterminada, podrás permitirlos manualmente. Si eres el responsable de un sitio web, probablemente te interese saber qué certificados estás utilizando para, en caso de ser necesario, tomar medidas para garantizar su funcionamiento.
Imágenes | Capturas de pantalla de Xataka