Mozilla ya no confiará mas en Certificados digitales de Symantec!



Este memorandum era algo de esperarse, por las fallas detectadas en los certificados digitales en el año 2017 cuando Google invalidó más de 30.000 certificados emitidos por Symantec después de detectar distintos fallos de seguridad en el proceso de validación..

Mozilla publico y discutió con una de las CA mas importantes de Symantec, y esta concluyo que Mozilla dejara de confiar en los certificados digitales provistos por Symantec de manera paulatina:


  • Enero de 2018 (Firefox 58): las notificaciones en la Consola del navegador advierten sobre los certificados de Symantec emitidos antes de 2016-06-01, para alentar a los propietarios de sitios a reemplazar sus certificados TLS.
  • Mayo de 2018 (Firefox 60): los sitios web mostrarán un error de conexión no confiable si usan un certificado TLS emitido antes del 2016-06-01 que se encadena a un certificado raíz de Symantec.
  • Octubre de 2018 (Firefox 63): desconfianza de los certificados raíz de Symantec para la autenticación TLS del servidor de sitios web.
  • Después de la adopción de la propuesta de consenso, DigiCert adquirió la CA de Symantec; sin embargo, ese hecho no ha cambiado el compromiso de Mozilla de implementar la propuesta.


Se espera que Firefox 60 ingrese a Beta el 13 de marzo, con la eliminación de la confianza para los certificados de Symantec emitidos antes del 1 de junio de 2016, con la excepción de los certificados emitidos por algunas CA subordinadas controladas por Apple y Google. Este cambio afecta a todas las marcas de Symantec, incluidas GeoTrust, RapidSSL, Thawte y VeriSign. El cambio ya está en vigor en Firefox Nightly.

En Firefox 63, la confianza se eliminará para todos los certificados de Symantec TLS independientemente de la fecha de emisión (con la excepción de los certificados emitidos por las CA subordinadas de Apple y Google como se describe anteriormente).


https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/