La decisión de Google de remover dos importantes autoridades certificadoras del Chrome Root Store marca un punto de inflexión en las políticas de confianza digital. A partir de agosto de 2025, los certificados emitidos por Chunghwa Telecom y Netlock dejarán de ser reconocidos como confiables por el navegador más utilizado del mundo, afectando potencialmente a miles de sitios web que dependen de estas entidades para su seguridad.
Cronograma de implementación y consecuencias técnicas
La medida entrará en vigor con el lanzamiento de Google Chrome versión 139, programado para el 1 de agosto de 2025. Una vez implementado, los usuarios verán el temido mensaje «Su conexión no es privada» al acceder a sitios web que utilicen certificados de estas autoridades certificadoras comprometidas.
Esta decisión no surge de la nada. Google ha documentado fallos sistemáticos en los procesos de validación, incumplimiento de estándares de la industria y resistencia a implementar mejoras críticas por parte de ambas organizaciones, a pesar de múltiples advertencias y períodos de gracia otorgados.
Perfil de las autoridades certificadoras afectadas
Chunghwa Telecom: gigante asiático de las telecomunicaciones
Como el operador de telecomunicaciones más grande de Taiwán, Chunghwa Telecom opera dos centros de certificación públicos significativos: ePKI y HiPKI. Estos servicios han sido fundamentales para la infraestructura digital de la región, proporcionando certificados SSL/TLS para comunicaciones web seguras y servicios de firma digital.
Netlock: proveedor europeo de certificación digital
La empresa húngara Netlock ha establecido una presencia considerable en Europa Central y Oriental a través de su autoridad certificadora Arany (Gold Class). Sus servicios abarcan desde certificados SSL hasta firmas electrónicas cualificadas, siendo especialmente relevante en mercados como Hungría, República Checa y otros países de la región.
Impacto en organizaciones y estrategias de mitigación
Los propietarios de sitios web que dependen de certificados de estas autoridades enfrentan un dilema crítico. Aunque los sitios seguirán siendo técnicamente accesibles, las advertencias de seguridad pueden reducir drásticamente la confianza del usuario y las tasas de conversión, especialmente en comercio electrónico y servicios financieros.
Las organizaciones afectadas tienen varias opciones de migración disponibles. La solución más directa implica obtener nuevos certificados de autoridades certificadoras incluidas en el Chrome Root Store, como Let’s Encrypt, DigiCert o GlobalSign. Alternativamente, las empresas pueden implementar certificados como localmente confiables en dispositivos corporativos, aunque esta solución solo funciona en entornos controlados.
Implicaciones para el ecosistema de seguridad web
Esta medida refleja una tendencia más amplia hacia estándares de seguridad más estrictos en la industria de certificados digitales. Google ha demostrado que la pérdida de integridad operacional y el comportamiento sospechoso resultan en consecuencias tangibles, independientemente del tamaño o la influencia regional de la autoridad certificadora.
El precedente establecido envía una señal clara a toda la industria: las autoridades certificadoras deben mantener los más altos estándares de seguridad operacional o enfrentar la exclusión de los principales navegadores. Para las organizaciones que dependen de certificados digitales, esto subraya la importancia de diversificar proveedores y mantener planes de contingencia actualizados.
La decisión de Google también destaca la necesidad de que las empresas realicen auditorías regulares de su infraestructura de certificados y mantengan relaciones con múltiples autoridades certificadoras confiables. En un panorama donde la confianza digital es fundamental para las operaciones comerciales, la preparación proactiva y la gestión de riesgos se vuelven elementos críticos para mantener la continuidad del negocio y la confianza del cliente.
