Compatibilidad con Google, HTTPS y dispositivos


Publicado por Ryan Hurst, Gestión de productos, Servicios de confianza de Google

El cifrado es un bloque de construcción elementary cuando tiene la misión de organizar la información del mundo y hacerla accesible universalmente con gran seguridad y privacidad. Es por eso que hace poco más de cuatro años creamos Servicios de confianza de Google—Nuestra autoridad de certificación (CA) de confianza pública.

El camino para convertirse en una autoridad certificadora de confianza pública es largo, especialmente si los certificados que emita serán utilizados por algunos de los sitios más visitados de Web.

Cuando comenzamos este viaje, nuestro objetivo period que en cinco años nuestros certificados raíz estuvieran integrados en suficientes dispositivos para que pudiéramos hacer una sola transición a nuestros certificados raíz a largo plazo.

Todavía hay una gran cantidad de dispositivos usados ​​activos que no se han actualizado con nuestros certificados raíz.

Para garantizar que el mayor número posible de clientes sigan teniendo conexiones seguras al utilizar los certificados de Google Rely on Companies, necesitábamos obtener una señal cruzada. Un signo cruzado permite a una autoridad de certificación en la que ya confía un dispositivo extender la compatibilidad de su dispositivo a otra autoridad de certificación.

Las reglas que gobiernan las operaciones de la CA pública requieren que la CA a la que se realiza la firma cruzada cumpla con los mismos criterios estrictos de operación, tecnología y auditoría que la autoridad de certificación que proporciona esta firma cruzada. Google Trust Products and services ya es una CA de confianza pública que se opera con los más altos estándares y se encuentra en las principales tiendas de confianza de navegadores, por lo que ya cumplimos con los requisitos para un signo cruzado de otra CA. La clave fue encontrar una que ya esté confiaban en los dispositivos que queríamos poder validar nuestros certificados. Trabajamos con GMO GlobalSign para esta señal cruzada porque operan uno de los certificados raíz más antiguos de uso generalizado en la actualidad.

¿Por qué te contamos esto ahora? El 15 de diciembre de 2021, el certificado raíz principal que usamos hoy (GlobalSign R2 que es propiedad y está operado por Google Believe in Companies) caducará.

Para garantizar que estos dispositivos más antiguos sigan funcionando sin problemas con los certificados que emitimos, comenzaremos a enviar un nuevo certificado con firma cruzada a los servicios cuando emitamos nuevos certificados.

La buena noticia es que los usuarios no deberían notar el cambio. Esto se debe a que el certificado cruzado (GTS Root R1 Cross) que estamos implementando fue firmado por un certificado raíz creado y en el que confían la mayoría de los dispositivos hace más de 20 años.

En resumen, cuando utiliza certificados de Google Rely on Services, usted y sus clientes seguirán beneficiándose de la mejor compatibilidad de dispositivos de la industria.

Sabemos que puede tener algunas preguntas sobre este cambio. Aquí están nuestras respuestas a las más frecuentes:

Soy un desarrollador o ISV que usa una API de Google. ¿Que necesito hacer?


Las autoridades de certificación cambian los certificados de CA raíz que utilizan de vez en cuando, por lo que siempre hemos proporcionado una lista de certificados que usamos actualmente o podemos usar en el futuro. Cualquiera que use esta lista no tendrá que cambiar nada. Si no ha estado usando esta lista y actualizándola según nuestra guía publicada, deberá actualizar su aplicación para usar estas raíces y actualizar regularmente la lista que usa para que los cambios futuros se realicen sin problemas para sus usuarios.

Soy un operador de sitios world wide web que utiliza certificados de Google Belief Services. ¿Necesito cambiar algo?

¡Tu no! Los servicios de confianza de Google ofrecen certificados para los productos y servicios de Alphabet, incluidos muchos servicios de Google Cloud. Esto significa que esos servicios son los responsables de configurar y administrar TLS por usted.

¿Cuándo entrará en vigor este cambio?

Comenzaremos a implementar cadenas de certificados que utilizan este certificado cruzado en marzo de 2021. Implementaremos lentamente estos cambios durante el resto del año y los completaremos antes del 15 de diciembre de 2021.

Utilizo un servicio o producto que utiliza los servicios de confianza de Google. ¿Hay algo que deba cambiar? No, este cambio debería ser invisible para todos los usuarios finales.

¿Cómo puedo probar para ver si mis dispositivos confiarán en los certificados que se basan en esta firma cruzada?

Operamos un sitio de prueba que utiliza el certificado cruzado que puede visitar aquí. Si ve «Página de demostración de Google Rely on Solutions – Estado esperado: bueno» y alguna información adicional sobre el certificado, la nueva cadena de certificados funciona correctamente en su dispositivo. Si recibe un error, la lista de raíces confiables para el dispositivo que está probando debe actualizarse.

¿Cuándo caduca este certificado cruzado y qué sucede cuando lo hace?

El certificado cruzado vence el 28 de enero de 2028. En algún momento entre ahora y cuando parezca que ya no es necesario para una amplia compatibilidad de dispositivos, dejaremos de proporcionar este certificado adicional a los solicitantes de certificados, ya que ya no será necesario.

Utilizo un dispositivo antiguo y no confía en el signo cruzado. ¿Qué tengo que hacer?

Muchos dispositivos manejan actualizaciones de certificados raíz como parte de su proceso de parcheo de seguridad. Si está ejecutando uno de estos dispositivos, debe asegurarse de aplicar todas las actualizaciones de seguridad relevantes. También es posible que el fabricante ya no proporcione actualizaciones de seguridad para su dispositivo. Si este es el caso, es posible que desee comunicarse con su proveedor o considerar reemplazar su dispositivo.

¿Significa esto que ya no está utilizando las raíces de Google Belief Services? Todavía estamos usando las raíces de Google Belief Companies, simplemente tienen firmas cruzadas. Cuando ya no sea necesario utilizar el signo cruzado, ya no distribuiremos el signo cruzado a los solicitantes de certificados.




Enlace a la noticia first