Confianza rota, el caso Entrust

El Blog de LatSSL

Estás leyendo:

Confianza rota, el caso Entrust

La industria de la seguridad en Internet – principalmente la de PKI – recibió una noticia arrolladora a finales de Junio. Google Chrome decidió dejar de confiar en los certificados firmados por Entrust (una de las autoridades certificadoras) a partir de Octubre de 2024. Este anunció fue seguido por otros fabricantes siguiendo el mismo camino.

¿Cuál fue el problema?

Durante varios años han habido incidentes públicamente reportados sobre errores en el manejo de la validación por parte de Entrust, lo que llevó a los fabricantes de software a dejar de confiar en el certificado root de Entrust y removerlo de sus repositorios. Esto significa que todos los certificados firmados con el certificado raíz de Entrust a partir del 31 de Octubre de 2024 mostrarán un mensaje de sitio no seguro en la mayoría de los navegadores.

¿Qué significa para los usuarios y clientes de Entrust?

Para los usuarios con certificados que aún cuentan con vigencia después del 31 de Octubre de 2024, esto representa que su certificado no podrá ser renovado y que deberán obtener un certificado firmado por alguna otra autoridad certificadora. Los certificados de Entrust firmados antes del 31 de Octubre de 2024 se mantendrán vigentes hasta su vencimiento. Muchos sitios web buscan hacer creer lo contrario con la finalidad de impulsar sus ventas, pero en la realidad, esa es solo una estrategia de muy bajos principios para conseguir ventas. Después del 31 de Octubre de 2024, todo certificado firmado con el certificado raíz de Entrust si será detectado como no confiable.

¿Cuál es la solución de Entrust ante este evento?

Como era de esperarse, Entrust no iba simplemente a desaparecer del mapa. A finales del mes de Julio anunciaron su asociación con SSL Corp. para poder seguir emitiendo certificados SSL/TLS, solo que todos los certificados emitidos a partir del 31 de Octubre de 2024 (y probablemente desde un poco antes) serán firmados con el certificado root de SSL Corp. en lugar del que pertenece directamente a Entrust.

¿Cuál es la lección a aprender?

Este caso nos enseña a todos los que estamos en la industria de PKI que Internet no perdona. Que los errores del pasado pueden seguir atormentándonos en el presente y en el futuro. Que es más importante contar con un negocio que cumpla con todos los lineamientos que uno que prometa ingresos rápidos. Sin lugar a dudas la valuación de Entrust se ha visto gravemente afectada, pues de ser una autoridad certificadora reconocida, ha pasado a ser un “agente registrador”, que es un nombre “profesional” para el equivalente de nuestro programa de Certificados con Tu Marca. Para los consumidores en general, la lección a aprender es que siempre hay que buscar la confiablidad de un proveedor por encima del precio, ya que reemplazar un certificado en un sitio web es una tarea fácil, pero hay administradores de redes que tendrán que reemplazar la cadena completa de confianza en miles de equipos.

Suscríbete a nuestro boletín Latitud SSL y recibe las últimas noticias del mundo de la seguridad en Internet, promociones especiales y acceso a lanzamiento de nuevos productos.

© 2024 LatSSL & Intradigital Soluciones Tecnológicas, S. de R. L. de C.V. Reservados todos los derechos.

LatSSL es un proveedor de soluciones de seguridad y emisor de certificados SSL propiedad de Intradigital Soluciones Tecnológicas, S. de R.L. de C.V. LatSSL es una marca registrada y protegida. Este sitio puede incluir menciones de otras marcas registradas que son propiedad de sus respectivos derechohabientes.

Información Importante

Lat[itud] SSL

Porque no podíamos desaprovechar la oportunidad de usar nuestra marca :)

Latitud SSL

Porque te damos orientación en materias de seguridad en Internet, PKI y más.

[La]titud [SSL]

Porque es un boletín con actitud, interesante y entretenido.

Suscripción a Latitud SSL

"*" indica campos requeridos

Tu nombre completo*
Dirección de correo*
Aceptación de términos*