Cuando se descubrió un comportamiento inapropiado de WoSign y StartCom hace unos meses, Mozilla fué muy rapido en crear un plan de contingencia, penalizando los certificados tramposos ante las autoridades, ahora otras compañias se le suman.

La última semana, Mozilla, la organización sin fines de lucro detrás de Firefox publicó una lista de acciones que tomará contra dos Autoridades de Certificación (CA) y ahora Google está haciendo lo mismo, anunciando que tomará medidas para cortar las certificaciones de WoSign y StartCom que emitieron certificados a partir del 21 de octubre o posterior.

A principios de este año, la autoridad de certificación China WoSign ha sido encontrada haciendo trampa con certificaciones SHA-1 que salteaban la nueva politica de no emitir mas certificaciones SHA-1 pasada la fecha de Enero de 2016 por cuestiones de seguridad.

WoSign también falló en divulgar que ha adquirido a la popular CA StartCom que reemplazó su infraestructura con la de WoSign, a Mozilla no le gustó nada, ya que es una obligación de cualquier CA de publicar esta información de manera pública.

Apple reacciona

Apple también fué muy rápida en reaccionar contra WoSign, anunciando que el 30 de Septiembre bloquearía los certificados intermedios de la autoridad CA en iOS y MacOS, la compañia dijo que solo son válidos aquellos certificados emitidos antes del 19 de Septiembre de 2016.

Los certificados serían bloqueados en su totalidad tarde o temprano para forzar a WoSign a que pase a certificados mas seguros y se reservó el derecho de bloquear posteriores certificados.

Google al ataque

Google también ha colaborado con Mozilla sobre el tema de WoSign, creando una investigación en la cual revela que está lista para tomar acción contra WoSign.

Desde la versión 56 de Chrome, Google no confiará en certificados nuevos de WoSign o StartCom pasada la fecha de emisión de 21 de Octubre. Los certificados actuales serán confiados si se adaptan a las reglas de transparencia de las CA. Debido a razones técnicas Google mencionó que los certificados existentes dejarán de funcionar en Chrome 56 si es necesario para garantizar que los usuarios están protegidos.

Las proximas versiones de Chrome desconfiarán por completo todos los certificados de esta autoridad. Esta respuesta elaborada está pensada para minimizar el daño a todos los que estén utilizando sus certificados y darle  tiempo a transicionar a mejores alternativas, como Let’s Encrypt. Google expresó cláramente que cualquier intento de saltear estos bloqueos llevará a un ban inmediato a WoSign y StartCom.

Tanto Apple como Mozilla y Google han publicado sus planes para castigar a WoSign y StartCom por su falta de conducta apropiada. Microsoft y Opera, que ha sido adquirida por una compañia China de manera reciente son los únicos navegadores que todavía no han revelado sus planes para contrarrestar esta conducta inapropiada de estos CAs.

En definiva, no resulta tan extraño que una vez mas una compañia China se vea envuelta en una falta de conducta ética apropiada con el resto de la industria.