Cuando adquirimos un certificado SSL para colocarlo en nuestro sitio web, debemos confiar en una Autoridad de Certificación (CA). Dicha CA, está firmada por otra CA de nivel superior a ella que proporciona confianza para que firme nuevos certificados. En este caso, la CA WoSign dejará de ser confiable en el año 2017 y por tanto, no será reconocida por los principales navegadores web.
Todos los portales que utilizan HTTPS es necesario que tengan un certificado SSL firmado por una CA de confianza, dicha CA de confianza es reconocida por los principales navegadores web. Si nosotros colocamos en un sitio web un certificado autofirmado o que no es de confianza, el navegador web nos avisará de que navegar por la web visitada podría no ser seguro, ya que podríamos estar ante un ataque Man In The Middle, y por tanto, todas las comunicaciones podrían ser interceptadas o modificadas.
La confianza en la CA WoSign se ha perdido al emitir certificados fraudulentos para el conocido portal Github. A partir del año de 2017, todos los portales que usen certificados SSL emitidos por esta CA no serán reconocidos por los navegadores Google Chrome, Mozilla Firefox y Microsoft Edge. Las compañías Google, Mozilla y Microsoft dejarán de confiar tanto en WoSign como en su afiliado StartCom.
El motivo de retirar la confianza a esta CA
El motivo de la retirada de la confianza es que WoSign expidió un certificado SSL para uno de los dominios de Github sin la autorización de este. Un miembro del equipo de seguridad de Google Chrome, investigó a fondo el tema, y llegaron a la conclusión de que WoSign, a sabiendas e intencionadamente, emitió certificados con el fin de eludir las restricciones de los navegadores y vulnerando los estándares de CA.
Mozilla y su comunidad de seguridad también analizaron a fondo WoSign y descubrieron que al menos tenía otros 14 problemas de seguridad
¿Desde cuándo dejará de ser confiable WoSign?
El navegador Google Chrome 56 ya no incorporará en su base de datos de CA de confianza los certificados de WoSign o StartCom emitidos después del 21 de octubre de 2016 y Mozilla tampoco lo hará en los certificados emitidos después del 21 de octubre.
Los propietarios de miles de sitios web tendrán un tiempo hasta que caduquen dichos certificados, no obstante, recomendamos que si estás usando esta CA para firmar vuestros certificados SSL, cambiéis cuanto antes de proveedor.
Os dejamos otro artículo donde hablamos de los certificados SSL comodines.