En toda web en la que existe tráfico de in­fo­r­ma­ción sensible, poseer un ce­r­ti­fi­ca­do SSL es im­po­r­ta­n­te para ga­ra­n­ti­zar la seguridad de los datos de los usuarios. No obstante, en la ac­tua­li­dad esta afi­r­ma­ción ha de pu­n­tua­li­zar­se, pues los conocidos na­ve­ga­do­res Google Chrome y Mozilla Firefox anu­n­cia­ron hace unos meses el cese de su confianza en los ce­r­ti­fi­ca­dos SSL que Symantec había emitido antes del 1 de diciembre de 2017. Esta decisión se debe a que las so­lu­cio­nes de seguridad web de la co­r­po­ra­ción, junto a las de otras de in­frae­s­tru­c­tu­ra de clave pública (PKI), fueron tra­s­pa­sa­das a DigiCert, compañía ahora encargada de ac­tua­li­zar y mo­de­r­ni­zar varios de los aspectos del modelo de Symantec. Los citados na­ve­ga­do­res de­ci­die­ron retirar su confianza de los ce­r­ti­fi­ca­dos SSL hasta que se completen las ac­tua­li­za­cio­nes.

Protégete y compra un ce­r­ti­fi­ca­do SSL

Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con en­cri­p­ta­ción SSL.

Los ce­r­ti­fi­ca­dos SSL en el punto de mira

La decisión tajante de Chrome y Mozilla de retirar su confianza en los ce­r­ti­fi­ca­dos SSL se basa en una serie de di­s­cre­pa­n­cias en­co­n­tra­das en los ce­r­ti­fi­ca­dos SSL emitidos entre 2015 y 2017. Estas ponían en tela de juicio la habilidad real de Symantec para ga­ra­n­ti­zar que los ce­r­ti­fi­ca­dos SSL pudiesen llevar a cabo un proceso de au­te­n­ti­ca­ción válido. La empresa y la comunidad de los na­ve­ga­do­res han mantenido un debate durante varios meses que concluyó con dos medidas pri­n­ci­pa­les. Estas fueron es­ta­ble­ci­das por Google Chrome y más tarde co­n­fi­r­ma­das por Mozilla.

  1. Symantec debía asociarse a otra autoridad de ce­r­ti­fi­ca­ción (CA) para ejecutar los procesos de au­te­n­ti­ca­ción y emisión de ce­r­ti­fi­ca­dos SSL desde una nueva in­frae­s­tru­c­tu­ra.

  2. Se retiraría la confianza de todos los ce­r­ti­fi­ca­dos SSL emitidos por la in­frae­s­tru­c­tu­ra anterior de Symantec, los cuales han de ser re­em­pla­za­dos gra­tui­ta­me­n­te antes de las fechas es­ti­pu­la­das.

Poco tiempo después, DigiCert adquirió el negocio de ce­r­ti­fi­ca­dos, que a partir de diciembre de 2017 emite desde la nueva in­frae­s­tru­c­tu­ra ce­r­ti­fi­ca­dos SSL co­m­pa­ti­bles.

En principio, el motivo por el que Chrome y Mozilla han llevado a cabo estas ac­tua­cio­nes se basa en su intención de ga­ra­n­ti­zar la seguridad de los usuarios. No obstante, otros na­ve­ga­do­res como Explorer, Safari y Opera han preferido no enviar ningún mensaje de ad­ve­r­te­n­cia a sus usuarios, ya que no co­n­si­de­ran la supuesta amenaza tan alarmante como Chrome y Mozilla. Con todo, exista realmente o no un riesgo en la seguridad de los ce­r­ti­fi­ca­dos, lo cierto es que muchos ope­ra­do­res van a ser testigos de cómo esta campaña de de­s­co­n­fia­n­za va a afectar a sus webs.

¿Cuándo afectarán estas medidas a los ce­r­ti­fi­ca­dos SSL?

Desde el pasado 16 de abril se muestra un mensaje de ad­ve­r­te­n­cia a todos los usuarios de Chrome 66 (o de versiones po­s­te­rio­res) cuando intentan acceder a una web en­cri­p­ta­da con un ce­r­ti­fi­ca­do SSL de Symantec emitido antes del 1 de junio de 2016. Además, a partir de octubre de 2018 Chrome 70 (o versiones po­s­te­rio­res) también mostrará este aviso en las páginas con ce­r­ti­fi­ca­dos SSL emitidos antes del 1 de diciembre de 2017.

El contenido de los mensajes se encarga si­m­ple­me­n­te de advertir a los usuarios de que el in­te­r­ca­m­bio de in­fo­r­ma­ción puede no ser seguro. Los vi­si­ta­n­tes tienen entonces dos opciones: aceptar y continuar sin im­pe­di­me­n­tos, pues la fu­n­cio­na­li­dad de la web no se ve afectada, o abandonar la web y buscar otras páginas más seguras. Eso sí, llegado el momento, se impedirá el acceso a la página web.

Imagen: Fechas límite para renovar los certificados SSL según Google
Google Chrome ha publicado las fechas para las que se re­co­mie­n­da haber renovado el ce­r­ti­fi­ca­do SSL

¿Cómo saber si las medidas afectan a mi ce­r­ti­fi­ca­do?

Para saber si estas medidas afectan al ce­r­ti­fi­ca­do SSL de tu página web, debes comprobar su fecha de emisión. Si es anterior al 1 de junio de 2016 o al 1 de diciembre de 2017, se hará necesario renovar el ce­r­ti­fi­ca­do SSL. Para ello, aunque hay un gran número de he­rra­mie­n­tas online que pueden ayudarte, la opción más sencilla es aquella que permite comprobar la validez a través del mismo navegador. A co­n­ti­nua­ción, se eje­m­pli­fi­ca cómo llevar a cabo este proceso de co­m­pro­ba­ción en Google Chrome y Firefox.

Google Chrome

Para comprobar el estado de tu ce­r­ti­fi­ca­do SSL en Chrome haz clic en el icono junto al URL: puede mostrar un candado verde (conexión segura), la vocal “i” dentro de un círculo (In­fo­r­ma­ción o No es seguro) o un triángulo rojo con el símbolo de cierre de ex­cla­ma­ción (No es seguro o Peligroso). Aparecerá un menú de­s­ple­ga­ble:

Imagen: Comprobar la validez del certificado en Chrome
Comprobar la validez del ce­r­ti­fi­ca­do en Chrome es sencillo

En la pestaña “Detalles” (“Details”) en­co­n­tra­rás el periodo de validez del ce­r­ti­fi­ca­do web.

Mozilla Firefox

Los pasos para comprobar la fecha de emisión de un ce­r­ti­fi­ca­do SSL en Mozilla Firefox son muy similares a los de Chrome. Basta con clicar en el icono junto al URL, ya sea un candado verde (“Seguro”), una “i” en un círculo gris (“In­fo­r­ma­ción o no seguro”) o un símbolo de ex­cla­ma­ción en un triángulo rojo (“No seguro o peligroso”), tras lo que se abre una lista de­s­ple­ga­ble:

Imagen: Comprobar la validez de tu certificado en FirefoxAsha SreenivasShu­t­te­r­s­to­ck
Conocer la fecha de emisión de un ce­r­ti­fi­ca­do en Firefox es muy sencillo

Al clicar sobre la flecha junto a la in­fo­r­ma­ción sobre el tipo de conexión se abre una ventana. En la pestaña “General” se muestra desde cuándo es válido el ce­r­ti­fi­ca­do.

Ca­le­n­da­rio de re­no­va­ción

El ca­le­n­da­rio de re­no­va­ción está formado por dos fases que coinciden con las pu­bli­ca­cio­nes de las versiones Google Chrome 66 y 70:

Imagen: Calendario con fechas de renovación
Ca­le­n­da­rio con fechas para renovar el ce­r­ti­fi­ca­do SSL

Fase I – La versión de Chrome 66 muestra mensajes de no confianza para todos los ce­r­ti­fi­ca­dos que fueron emitidos antes del 1 de junio de 2016 y que no han sido renovados antes del 15 de marzo de 2018.

Fase II –Si el ce­r­ti­fi­ca­do SSL de tu página se emitió después del 1 de diciembre de 2017 no se verá afectado de ninguna forma; no obstante, si pertenece a una fecha anterior tendrá que ser re­em­pla­za­do antes del 13 de se­p­tie­m­bre de 2018. Si ya usas Chrome 66 pro­ba­ble­me­n­te habrás visto el aviso que sigue en Chrome DevTools:

Imagen: Aviso en Chrome DevTools
Los usuarios de Chrome 66 puede que ya hayan visto el siguiente mensaje

Si no se ha re­em­pla­za­do el ce­r­ti­fi­ca­do SSL de una web antes del la­n­za­mie­n­to de Chrome 70, los usuarios no podrán acceder a la in­fo­r­ma­ción contenida en ella:

Imagen: Advertencia a los usuarios de Chrome 70
Quienes ya utilicen la versión Chrome 70 pueden recibir esta ad­ve­r­te­n­cia

Entrar en acción

Todos los ce­r­ti­fi­ca­dos SSL afectados deben renovarse por otros nuevos, los cuales ma­n­te­n­drán la fecha de ex­pi­ra­ción del anterior. Además, este proceso no supondrá coste económico alguno para los usuarios.

Nota

Si tu ce­r­ti­fi­ca­do actual expira antes del 13 de se­p­tie­m­bre de 2018 (Chrome 70 beta) no tienes por qué llevar a cabo ningún proceso de re­no­va­ción.

Tendrás que crear un CSR (Ce­r­ti­fi­ca­te Signing Request) para cada ce­r­ti­fi­ca­do que tenga que ser re­em­pla­za­do. Este es un proceso estándar en el que hay que enviar a DigiCert la clave pública, in­fo­r­ma­ción sobre la compañía y el nombre de dominio. Una vez has enviado la petición, recibirás un nuevo ce­r­ti­fi­ca­do que podrás instalar.

Consejo

IONOS se encargará de la re­no­va­ción au­to­má­ti­ca de los ce­r­ti­fi­ca­dos de sus clientes. Así se ga­ra­n­ti­zan los últimos es­tá­n­da­res de seguridad y la co­m­pa­ti­bi­li­dad absoluta con el navegador. Clica aquí para más in­fo­r­ma­ción.

Ir al menú principal