O Google anunciou em seu blog de desenvolvedores do Chrome, um plano que pretende reduzir o nível de confiança dos Certificados SSL emitidos pela Symantec. Com isso, os usuários que utilizam o navegador da Google, serão notificados sobre a falha de segurança.
Há algum tempo o Google vem pressionando os sites a usarem o SSL/HTTPS. Com isso o número de buscas por Certificado SSL aumentou consideravelmente nos últimos meses.
Sectigo, DigiCert, GlobalSign, RapidSSL, Symantec e outras empresas desse mercado tem ganhado forças com a emissão e validação de certificados.
Caso tenha dúvidas sobre certificado SSL veja O Guia definitivo do SSL.
Google deixará de confiar em certificados Symantec
A gigante das buscas vem investigando desde 19 de janeiro, várias falhas em relação a validação de certificados pela Symantec. Com isso, o navegador Chrome notificará usuários sobre a segurança que utilizam certificados emitidos pela Symantec.
De imediato, o Chrome planeja interromper o reconhecimento do status de validação estendida dos certificados emitidos pela Symantec, afirma Ryan Sleevi no fórum do Google.
Ele ainda afirma que há riscos significativos que geram desconfiança na emissão de novos certificados pela empresa.
Para garantir a confiança e a segurança, o Google propôs a Symantec as seguintes mudanças:
- A redução do período de validade de certificados Symantec para nove meses ou menos;
- Revalidação de substituição de todos certificados emitidos pela empresa;
- Remoção do status Extended Validation dos certificados emitidos, até que a comunidade se assegurar das políticas e práticas da Symantec.
Symantec responde Google
Em resposta ao Google, a Symantec não aceitou os termos propostos pelo Google. E em um postagem, a empresa diz que as declarações são “exageradas” e “enganosas”. Escreve também que outras certificadoras possuem falhas semelhantes e que não estão sendo alertadas e cobradas.
E ainda reforça:
“Queremos tranquilizar nossos clientes e todos os consumidores, que podem continuar confiando em certificados SSL/TLS da Symantec. A Symantec vai defender vigorosamente o uso seguro da Internet, incluindo minimizar qualquer potencial perturbação causada pela proposta em post no blog do Google.”
Parece que a guerra entre as duas empresas está declarada, já que o Google afirma reconhecer problemas graves, e que as medidas precisam ser tomadas. Caso não sejam cumpridas, a empresa não irá mais reconhecer os certificados emitidos pela Symantec, fazendo com que clientes afetados troquem por certificados novos que atendem os critérios de segurança do navegador.
O lado positivo para clientes da Symantec é que, a empresa diz que apesar de não aceitar as acusações, está disposta a resolver o problema em conjunto com o Google.
Se você utiliza algum certificado emitido pela Symantec no Chrome, poderá receber avisos de “Site não é seguro”. E a recomendação é evitar o site. Ou se preferir, tente trocar o navegador por outro de sua confiança.
Caso seu site ainda não possui um Certificado SSL, clique aqui.
Fontes: Ars Technica e Symantec.
