Miércoles, 4 de abril de 2018
Publicación cruzada del Blog de seguridad de Google
Anteriormente, habíamos anunciado planes para dar de baja la confianza de Chrome en la autoridad certificadora de Symantec (incluidas las marcas de Symantec, como Thawte, VeriSign, Equifax, GeoTrust y RapidSSL). En esta publicación, se describe cómo los operadores de sitios pueden determinar si se verán afectados por esta baja y, de ser así, qué se debe hacer y cuándo. Si no reemplazas los certificados, el sitio se romperá en las próximas versiones de los navegadores más populares, incluido Chrome.
Chrome 66
Si tu sitio usa un certificado SSL/TLS de Symantec que se emitió antes del 1 de junio de 2016, dejará de funcionar en Chrome 66, lo que ya podría afectar a tus usuarios.
Si no sabes si tu sitio usa este certificado, puedes obtener una vista previa de los cambios en Chrome Canary para comprobar si se ve afectado. Si la conexión a tu sitio muestra un error de certificado o una advertencia en las Herramientas para desarrolladores, como se muestra a continuación, deberás reemplazar el certificado. Puedes obtener un nuevo certificado de cualquier AC de confianza, como Digicert, que adquirió hace poco el negocio de AC de Symantec.
Ya se lanzó Chrome 66 en los canales para desarrolladores y Canary, lo que significa que los sitios afectados ya alcanzan a los usuarios de estos canales de Chrome. Si los sitios afectados no reemplazan sus certificados antes del 15 de marzo de 2018, los usuarios de Chrome Beta también comenzarán a experimentar las fallas. Te recomendamos que reemplaces el certificado lo antes posible si tu sitio muestra un error en Chrome Canary.
Chrome 70
A partir de Chrome 70, todos los certificados SSL/TLS restantes de Symantec dejarán de funcionar, lo que generará un error de certificado como el que se muestra más arriba. Para comprobar si el certificado se verá afectado, visita tu sitio en Chrome hoy y abre las Herramientas para desarrolladores. Verás un mensaje en la consola que te indicará si necesitas reemplazar el certificado.
Si ves este mensaje en las Herramientas para desarrolladores, te recomendamos que reemplaces tu certificado lo antes posible. Si no se reemplazan los certificados, los usuarios comenzarán a ver errores de certificados en tu sitio a partir del 20 de julio de 2018. La primera versión beta de Chrome 70 estará disponible alrededor del 13 de septiembre de 2018.
Cronograma de lanzamiento esperado de Chrome
En la siguiente tabla, se muestran el primer Canary, la primera versión beta y la versión estable de Chrome 66 y 70. El primer impacto de una versión determinada coincidirá con el primer Canary, que llegará a un público que se ampliará a medida que el lanzamiento alcance la versión beta y, luego, la versión estable. Recomendamos a los operadores de sitios que realicen los cambios necesarios en sus sitios antes del primer lanzamiento Canary para Chrome 66 y 70, y antes de las fechas de lanzamiento de la versión beta correspondientes.
| Versión | Primer Canary | Primera versión beta | Versión estable |
| Chrome 66 | 20 de enero de 2018 | ~ 15 de marzo de 2018 | ~ 17 de abril de 2018 |
| Chrome 70 | ~ 20 de julio de 2018 | ~ 13 de septiembre de 2018 | ~ 16 de octubre de 2018 |
Para obtener información sobre el cronograma de lanzamiento de una versión particular de Chrome, también puedes consultar el calendario de desarrollo de Chromium, que se actualizará si cambian los programas de lanzamiento.
A fin de abordar las necesidades de ciertos usuarios empresariales, Chrome también implementará una política empresarial que permite inhabilitar la desconfianza de la PKI heredada de Symantec a partir de Chrome 66. A partir del 1 de enero de 2019, esta política dejará de estar disponible y la PKI de Symantec heredada dejará de ser de confianza para todos los usuarios.
Mención especial: Chrome 65
Como se mencionó en el anuncio anterior, los certificados SSL/TLS de la PKI de Symantec heredada emitidos después del 1 de diciembre de 2017 ya no son de confianza. Esto no debería afectar a la mayoría de los operadores de sitios, ya que se requiere un acuerdo especial con DigiCert para obtener tales certificados. El acceso a un sitio que entrega este certificado fallará, y la solicitud se bloqueará a partir de Chrome 65. Para evitar este tipo de errores, asegúrate de que solo se entreguen esos certificados a dispositivos heredados y no a navegadores como Chrome.