Google ha anunciado la creación de su propia autoridad certificadora, Google Trust Services. En breve a través de esta CA Google empezará a emitir certificados digitales para sus propios productos en vez de depender, como hasta ahora, de terceros, con los que por otra parte seguirá trabajando.

googletrustservices

Google Trust Services es la nueva CA en el mercado, creada a partir de la compra de dos CA ya existentes (GlobalSign R2 y R4), esta nueva autoridad certificadora permitirá a todo el grupo Alphabet emitir sus propios certificados para verificar sus productos.

Los graves problemas de seguridad en diversas CA como Turktrust o Diginotar que se han sufrido estos últimos años, impulsaron a Google en este sentido para tener un mayor control sobre estos emisores, ya que algunos de ellos habían relajado sus políticas de seguridad emitiendo por ejemplo certificados a webs equivocadas facilitando de esa manera ataques a través de los mismos.

Por otra parte queda la duda sobre que una de las empresas, Google, de las que sus certificados son lo más controlados debido a los problemas que podrían surgir de su robo o falsificación, ahora se convierta a su vez en uno de los principales guardianes del sistema.

En este sentido y uniéndose al observatorio SSL de Mozilla y la EFF o al crt.sh de Comodo, Google comenzará a forzar toda una serie de prácticas centradas en la transparencia de los certificados a través de su framework Certificate Transparency. Este sistema que como decíamos se comenzará a forzar en octubre de este mismo año en en navegador Chrome, obligará a que todos los certificados cumplan con un estándares de transparencia para evitar de esta manera que los certificados de dominio puedan ser comprometidos o utilizados debido a fallos en el sistema de validación de los mismos. Debido al ciclo de vida de los certificados, se espera que para 2020 todos los certificados emitidos cumplan estos requerimientos de transparencia.

Para el usuario esta implementación supondrá que a partir de un cierto momento, cualquier web que no disponga de un certificado de este tipo será marcada en Chrome como no confiable. Aunque no afectará, de momento, a los usuarios de otros navegadores que por su parte llevan a cabo otras iniciativas en el mismo sentido de conseguir una Internet más segura.

Desde todos estos observatorios se continuará, por supuesto, fomentando el uso de prácticas más seguras como HTTP Strict Transport Security (HSTS), algoritmos de cifrado seguros como AEAD, TLS 1.2 o SHA-2 u otras buenas prácticas como la limitación en la duración de los certificados...

Fuente Google