La próxima versión de Chrome incluye en una lista negra los certificados de Camerfirma, con los que trabajan las webs de Hacienda o EducaMadrid, entre muchas otras en España

Los navegadores de internet andan actualizándose cada dos por tres. A veces son grandes cambios visibles en el diseño o nuevas funcionalidades para facilitar tareas de nuestro día a día. Otras veces son pequeños cambios de fontanería invisibles para nuestros ojos, que tienen la intención de resolver algún error puntual o mejorar la seguridad que, sin embargo, pueden tener grandes efectos secundarios. Es el caso de Chrome 90, una versión del navegador que se espera que Google haga pública en abril, que bloqueará las páginas webs que utilicen certificados digitales de Camerfirma, una empresa española que tiene una amplia implementación en diferentes administraciones públicas de todo tipo, entre ellas la Agencia Tributaria.

“Después de una consideración completa de la información disponible, y con el fin de proteger y salvaguardar a los usuarios de Chrome, los certificados emitidos por AC Camerfirma ya no serán aceptados en Chrome, comenzando con Chrome 90“, anunciaba Ryan Sleevi, desarrollador de software de la compañía, tal y como recogían en Banda Ancha EU. Esta página se hacía eco de una discusión en un grupo de trabajo que tiene la Fundación Mozilla en la plataforma ‘Google Groups’, donde participan trabajadores de las diferentes entidades que conforman dicha asociación, donde se perfilan algunos cambios de seguridad que afectan a los motores de búsqueda. “Aquellos que intenten acceder a un sitio web que utilice ese certificado encontrarán un mensaje que indica que el certificado ha sido revocado y que no se considera seguro”, continuaba Sleeve. “Usuarios y administradores de la empresa no podrán omitir ni anular esta advertencia“.

En ese mismo hilo se anunciaba que los administradores de las diferentes webs podrán comprobar cómo les afecta con una beta que se publicará en la primera quincena de marzo y que los usuarios no experimentarán problemas hasta que se publique la versión estable, aproximadamente el 13 de abril.

Este mensaje se publicó el pasado 25 de enero. Era el colofón a una larga discusión de varias semanas, en las que Ramiro Muñoz, CTO de la compañía, defendió ante los diferentes integrantes del grupo que la compañía había tomado nota de las incidencias y había puesto en marcha un ambicioso plan con una serie de medidas para cumplir los estándares de calidad de Mozilla. Sus explicaciones sin embargo no han convencido a Sleeve y otros de los participantes como se puede comprobar en este enlace (para consultarlo hay que acceder sin haber iniciado en tu cuenta de Google).

Preguntados por el asunto, desde Google confirman a este periódico el sentido de la decisión y explican que ya se han puesto en contacto con Camerfirma para trasladárselo de forma oficial. “La decisión de dejar de reconocer los certificados de una Autoridad de Certificación no es algo que nos tomamos a la ligera. Las Autoridades de Certificación desempeñan un papel clave en la protección de los usuarios de Chrome y debemos mantener los certificados que Chrome reconoce con los más altos estándares de seguridad que se esperan y necesitan”, explican desde Mountain View.

“Como hemos compartido directamente con Camerfirma, además de haberlo discutido públicamente, creemos que su historial de problemas graves y recurrentes de seguridad, indica que no han cumplido con estos estándares”, afirman, a la par que explican que han puesto en marcha una hoja de ruta para minimizar el impacto de la decisión.

¿También Firefox?

“Esto, si no se soluciona antes, va a afectar a cualquier usuario”, explica Sergio Carrasco, abogado experto en nuevas tecnologías e ingeniero de telecomunicaciones. “Y no solo de Chrome. Hay que tener en cuenta que la decisión se ha tomado en el seno de la fundación Mozilla, en un grupo de seguridad común que atañe tanto a los desarrolladores de Google como de Firefox, así que es esperable que Firefox haga lo mismo dentro de poco tiempo“, añade este experto, que destaca que la firma española acumulaba una serie de “vulnerabilidades y eventos” que le han sido advertidos hace tiempo y no han solucionado en su totalidad.