Microsoft ha anunciado ayer que van a eliminar los certificados de WoSign y StartCom de Windows 10. WoSign y StartCom son Autoridades de Certificados Chinas (Cas) que proporcionan certificados digitales. De acuerdo a Microsoft, estas Cas han fallado a la hora de mantener los estándares escogidos por Microsoft. Han estado siguiendo prácticas de seguridad inaceptables, incluyendo hacer copias de datos de certificados SHA-1, emisiones falsas de certificados, revocaciones accidentales de certificados, duplicación de números de serie de certificados y múltiples violaciones de los CAB Forum Baseline Requirements (BR).
Las CA, como se explica en la Página de Desarrolladores de Microsoft, es “responsable por asegurar la identidad de usuarios, ordenadores y organizaciones.” La CA autentica una entidad y responde a esa identidad proporcionándole un certificado firmado digitalmente. Gestiona, revoca y renueva certificados.”
Debido a la violación de los requerimientos, Microsoft va a eliminarlos. Sin embargo, los certificados existentes seguirán funcionando hasta que expiren. Depsués de septiembre de 2017, Windows 10 no va a confiar ningún certificado nuevo a estas Cas.
Microsoft también ha mencionado que han tomado estas decisiones tras una cuidadosa consideración sobre lo que es mejor para la seguridad de millones de usuarios de Windows. La compañía está muy preocupada por la seguridad de los usuarios, motivo por el cual lanza periódicamente actualizaciones nuevas con parches y arreglos de bugs y se apresura a arreglarlos cuando se descubre una nueva vulnerabilidad.
Además, Microsoft, como muchas otras empresas, mantiene un programa de caza de recompensas en el que ofrece cientos de miles de dólares para aquellos que encuentren bugs en sus sistemas operativos.
Este martes han lanzado nuevos parches para los sistemas operativos que aún cuentan con soporte (Windows 7, Windows 8.1 y Windows 10), y como te dijimos a principio de semana, es muy recomendable que actualices tu sistema para implementarlos lo antes posible.
