Hace poco más de un año, el PCI SSC publicó el suplemento informativo “Best Practices for Securing E-commerce” en donde se ofrecían una serie de pautas para el despliegue de controles de seguridad en entornos de comercio electrónico para alinearlos con PCI DSS. En uno de sus apartados más interesantes se listaban los criterios para la selección de una autoridad de certificación (“Certification Authority” – CA) para certificados digitales, dentro de los cuales se encuentra la reputación y confiabilidad:

Criterios para la selección de una entidad de certificación de confianza

De igual manera, el requisito 4.1 de PCI DSS exige que los certificados digitales empleados para la protección de datos de tarjetas de pago transmitidos en redes públicas abiertas sean “de confianza“:

Requisito 4.1 de PCI DSS relacionado con certificados digitales

¿Cómo se puede comprobar que una autoridad de certificación sea “de confianza”? Esta pregunta la intentó contestar Google cuando creó la iniciativa “Certificate Transparency” para proteger el ecosistema de certificación, solicitando a las CA el envío de información de los certificados generados a unos ficheros de registro con visibilidad pública. Esta iniciativa empezó a tener visibilidad luego de los problemas sucedidos con la emisión arbitraria de certificados por parte de la CA china WoSign y la CA danesa DigiNotar, que permitió la interceptación no autorizada de comunicaciones por parte de agencias de espionaje (Operación “Black Tulip”).

Esquema de funcionamiento de una infraestructura de “Certificate Transparency”

De forma adicional, el CA/Browser Forum publicó un listado de requerimientos básicos para CA que fueron aceptados por los líderes del sector y por los desarrolladores de navegadores (“browsers”) tales como Mozilla (Firefox) y Google (Chrome), que decidieron desconfiar de los certificados emitidos por esas CA problemáticas e informar a sus usuarios de estos problemas.

¿Qué ha sucedido con los certificados digitales de Symantec?

Symantec ha sido una de las CA más reconocidas del mercado y es quien opera marcas subsidiarias como Thawte, GeoTrust o RapidSSL. A pesar de su amplia cuota de mercado, Symantec no ha estado exenta de problemas.  En el año 2015, varios de sus empleados se vieron involucrados en la generación de certificados digitales falsos de dominios pertenecientes a Google. En enero de 2017 un investigador independiente detectó que Symantec estaba emitiendo certificados de forma arbitraria y posteriormente en marzo del mismo año se notificó una serie de problemas con las APIs de Symantec que permitía a un atacante tener acceso a las claves públicas y privadas y a regenerar o revocar certificados de forma arbitraria. La sumatoria de todos estos problemas se ha referenciado en el argot informático como “CertQuake“.

Debido a estos problemas, Google le solicitó a Symantec que registrara la emisión de certificados en los registros de “Certificate Transparency” con la negativa por parte de Symantec. Como respuesta a esta acción, Google definió de forma unilateral la revocación de la confianza en todos los certificados digitales emitidos por esta CA en el navegador Chrome (a partir de la versión 70) iniciando desde el día 23 de octubre de 2018.

Fechas límite para la aceptación de certificados de Symantec por Chrome

Desde la versión 66 de Chrome, los usuarios que visitan páginas con certificados digitales de Symantec ya están recibiendo notificaciones de incompatibilidad (NET::ERR_CERT_SYMANTEC_LEGACY).

Notificación de error en sitios web con certificados digitales de Symantec en Google Chrome

Por la misma línea, Mozilla ha anunciado que aplicará las mismas acciones con su navegador Firefox, dejando de confiar en los certificados de Symantec a partir de la versión 63 de Firefox, a publicarse en Octubre de 2018. Un análisis de los sitios web afectados por esta medida se puede encontrar aquí.

Notificación de error en sitios web con certificados digitales de Symantec en Mozilla Firefox

Para verificar si su sitio web está afectado por estos cambios, visite esta página que Symantec ha dispuesto para ello o esta otra página de Comodo CA:

¿Cuál ha sido la respuesta de Symantec?

Por su lado, Symantec ha publicado varias notificaciones con sus justificaciones a sus clientes, aunque esto no ha impedido que tanto Google como Mozilla sigan adelante con sus acciones.

También es importante indicar que a partir del 31 de octubre de 2017 DigiCert, Inc. adquirió el área de servicios de PKI y certificados digitales a Symantec.  Con base en esta adquisición, la infraestructura de CA de Symantec se convirtió en una Autoridad de Certificación Subordinada (“Subordinate Certificate Authority” – SubCA), con lo cual toda la responsabilidad de emisión (CA) fue asumida por DigiCert, cambiando la cadena de confianza (“Chain of Trust”) y la jerarquia de los servicios de PKI.

Bajo este escenario, los nuevos servicios de CA provistos por DigiCert se denominan “nueva infraestructura”, mientras que el entorno que estaba gestionado por Symantec y que presentó los problemas descritos anteriormente se denomina “infraestructura antigua”, que poco a poco será desmantelada y absorbida por los servicios de DigiCert.

¿Qué alternativas existen para migrar los certificados emitidos por la “infraestructura antigua” de Symantec (pre-DigiCert)?

Al día de hoy hay dos alternativas:

  • Remplazar los certificados emitidos por la CA de Symanted (infraestructura antigua) por certificados nuevos de DigiCert (infraestructura nueva): Con la adquisición de los servicios de PKI de Symantec por parte de DigiCert, los certificados emitidos por la infraestructura antigua de Symantec serán migrados de forma gratuita a la infraestructura nueva de DigiCert. Este proceso empezó en diciembre de 2017 y se ha puesto a disposición de los usuarios afectados un manual de preparación para esta acción.
  • Adquirir un nuevo certificado de una CA diferente (y confiable). Comodo CA ofrece una migración gratuita de Symantec a sus certificados.

¿Cómo afecta este problema al cumplimiento de PCI DSS?

Si un comercio o un proveedor de servicios está usando certificados digitales emitidos por la infraestructura antigua de Symantec o por alguna de sus subsidiarias, este problema puede ser detectado como PCI FAIL en los escaneos trimestrales ASV (requerimiento 11.2.2) afectando el cumplimiento global de PCI DSS.

Por otro lado, algunas herramientas en línea para la comprobación de seguridad en SSL/TLS como Qualys SSL Labs ya han empezado a valorar negativamente los sitios web que usan estos certificados.

Siendo así, nuestra sugerencia desde PCI Hispano a aquellos usuarios que usan los servicios de PKI de Symantec es que procedan de forma inmediata con el remplazo de cualquier certificado digital emitido por esa CA para evitar problemas con la seguridad de los datos de tarjetas de pago que sean transmitidos en canales públicos abiertos.

Si tienes dudas, no olvides dejarnos tus comentarios aquí, en nuestras redes sociales o visitar el foro.