La evolución en el uso de los certificados en Internet y en cómo los navegadores interpretan estos y hacen llegar a los usuarios la información es de vital importancia para la seguridad de este. Cuando un navegador bloquea una conexión que debería ser segura, porque no lo es, es algo realmente bueno. El navegador está evitando que la información del usuario pudiera ser capturada por una tercera parte.
El cifrado web requiere que fabricantes de navegadores y sistemas operativos confíen en las CA, las cuales utilizar criptografía para que cuando un servidor web presente un certificado que le identifique, el navegador pueda verificar realmente esta información. Todo esto es parte de la red de confianza, y requiere que los navegadores, fabricantes de sistemas y CAactúen con integridad y transparencia. Algunas CA tienen problemas con la seguridad, por lo que Apple, Google y Mozilla deben eliminarlas como CA en la que confiar. Hay algunos casos de ejemplo en la historia como Comodo. En Abril de 2015, Apple no actuó rápidamente contra CCNIC, una CA China que parecía estar saltándose las políticas de seguridad. En este caso, Mozilla y Google actuaron rápidamente y quitaron la CA. Apple y Microsoft no hicieron nada.
Figura 1: WoSign y el informe de Mozilla
Otro caso es el de septiembre de 2015. Mozilladescubrió que la CA WoSign tenía, lo que llamaron, un número de problemas técnicos y de gestión. WoSign tenía un problema que era la emisión de certificados firmados con SHA-1, el cual es un algoritmo de cifrado anticuado que las CA han acordado dejar de emitir. Esto es debido a que SHA-1 se considera roto. Existen más detalles en el infirme que Mozilla presentó sobre este caso. Tras este reporte, y los intentos pobres de WoSign por convencer a Mozilla, fueron eliminados de la lista de confianza el 21 de Octubre.
Apple siguió el ejemplo de manera pública, colocando, incluso, algunos párrafos de texto en la parte superiro de su sitio web dónde se enumeraban los certificados raíz de confianza a principios de octubre. Google y Microsoftsiguieron sus pasos. En Safari, Firefox y Chrome cuando se visita un sitio con un certificado firmado por WoSign o StartCom se genera una advertencia de seguridad. ¿Hacia dónde va esto? Cada año, los fabricantes de navegadores aumentan el tipo y naturaleza de las advertencias que muestran cuando se visita un sitio que está utilizando una seguridad ineficaz o mal configurada.
A partir de enero de 2017, Chrome comenzará a mostrar frases que indiquen al usuario que utilizar tráfico HTTP no es seguro y que no introduzca tarjetas de crédito o credenciales cuando se navegue por HTTP. Google planea pasar gradualmente a mostrar un triángulo de advertencia rojo y no seguro en todas las páginas sin cifrar. De forma transparente, Chrome redireccionará las solicitudes a una versión segura del sitio web si existiese.En Safari también habrá cambios. Los mensajes serán más impactantes y más claros, al estilo Chrome. El año 2017 puede ser el de la concienciación en el uso de certificados correctamente para los usuarios.
