Los certificados inseguros de Symantec y DigiCert serán bloqueados en Octubre
Tanto Chrome 70 Canady como en Firefox están ahora configurados para desconfiar de todos certificados emitidos Symantec TLS en sus versiones principales que llegarán a la rama estable en octubre.
Sobre este tema de los certificados emitidos por Symantec TSL se lleva avisando más de un año pero parace que compañías como PayPal todavía no se han dado cuenta.
¡Basta ya! Actualicen sus certificados! ¡Ahora!
¿No es seguro? Si su certificado SSL/TLS fue emitido por Symantec, Thawte, GeoTrust o RapidSSL, su sitio puede ser inseguro y estar sujeto a ser bloqueado por los usuarios de Chrome y Firefox.
Para saber con certeza si su certificado es uno de los que está a punto de ser desactivado, consulte su sitio en el comprobador de SSL de Symantec. Esto solo funciona con los certificados de Symantec, Thawte, GeoTrust o RapidSSL. No revela problemas con otros proveedores de certificados TLS.
Si todavía quiere usar los certificados de Symantec/DigiCert, DigiCert reemplazará sus certificados inseguros de forma gratuita. Simplemente use su cuenta actual de Symantec o DigiCert para solicitar un certificado SSL/TLS de reemplazo. También puede reemplazarlo con un certificado de otra Autoridad de certificación (CA), como Comodo, Entrust o Network Solutions.
No es todo tan fácil como parece ser
Para cumplir con los requisitos de reemplazo del certificado SSL/TSL de Google Chrome, DigiCert debe revalidar/volver a autentificar todos sus dominios para Validación de dominio (DV), Validación de organización (OV) o Certificados SSL de validación extendida (EV).
Para DV, eso es bastante simple. En el proceso de validación de control de dominio DV (DCV), DigiCert envía un correo electrónico de autorización a los propietarios del WHOIS registrados de su dominio. DigiCert también puede enviar el correo electrónico de autorización a cinco direcciones de correo electrónico de dominio: admin, administrador, webmaster, hostmaster o postmaster. DigiCert no enviará el correo electrónico de autorización al solicitante del certificado o al administrador de la cuenta.
También puede reemplazar un certificado DV TLS utilizando el servicio gratuito Let's Encrypt. Para los certificados OV y EV comerciales require mucho más trabajo.
Para revalidar/volver a autenticar su organización/compañía con DigiCert, necesitas tener a alguien listo para responder a DigiCert cuando llame a un número de teléfono verificado. Esta llamada generalmente se lleva a cabo dentro de las 24 horas posteriores a la solicitud.
Además, el nombre legalmente registrado de su grupo debe ser validado/autentificado para su certificado OV o EV.
Finalmente, su empresa u organización debe tener su nombre legal, dirección y teléfono listados en la web para darles un grado de confianza. Por ejemplo, puede hacer esto al enumerar su organización con un directorio comercial, como Google My Business o Dun & Bradstreet.
Si eliges ir con otra CA para su certificado OV o EV, tendrá que pasar por las mismas validaciones.
Una vez tengas todo eso hecho solo tenesitas necesitarás instalar los certificados. El método para esto varía de CA a CA.
Esto puede ser un proceso muy tedioso. Pero a que no quieres que a la mayoría de visitantes les bloquen el acceso a su web saliendo un error de certificado.
Con esto te aseguras tener buena imagen cuando lleguen las actualizaciones de octubre a todos los navegadores.