Microsoft ha decidido retirar la confianza de dos autoridades certificadoras (CA) de China después de descubrir malas prácticas de seguridad.

Redmond reveló en una publicación que comenzaría a depreciar certificados emitidos por WoSign y StartCom estableciendo como “fecha límite” el 26 de septiembre de 2017.

Esto significa que todos los certificados existentes continuarán funcionando hasta que expiren y Windows 10 no confiará en ningún nuevo certificado emitido por ellas después del 2 de septiembre.

Una breve declaración reveló la razón detrás de la decisión:

“Microsoft ha concluido que las autoridades certificadoras (CA) chinas WoSign y SartCom han fallado en mantener los estándares requeridos por nuestro Programa de Raíz Confiable. Observando prácticas inaceptables de seguridad incluyendo retroactividad de certificados SHA-1, fallos en la emisión, revocación accidental, duplicación de números seriales y múltiples repercusiones de los requisitos de línea base (BR) del foro CAB”.

La decisión de Microsoft sigue el mismo movimiento de Apple, Google y Mozilla, quienes retiraron los certificados en 2016.

Las noticias fueron recibidas por los expertos de la industria, incluido Kevin Bocek, jefe de ciberseguridad estratégica para Venafi.

Indicó que StartCom es meramente un “subsidiario secretamente adquirido” de WoSign y ambos han “hecho burla del sistema global de confianza sostenido por certificados digitales”.

“Puede parecer imposible para ambas CA aprobar el examen de un auditor para operar como una CA verificada”, agregó Bocek. “Esto es un recordatorio para los negocios del por qué es tan importante contar con sistemas automatizados de listas negras y eliminación de autoridades certificadoras no confiables de sus aplicaciones, redes y nubes. Ningún negocio debe quedarse esperando a Microsoft, Google y Apple para actuar”.

Esta noticia sigue a la decisión de Symantec de vender certificados de negocio por $950 millones de dólares a DigiCert en Utah.

Sin embargo, la razón oficial para la venta es ayudar al gigante de la seguridad a afilar su enfoque empresarial, ya que el negocio ha estado luchando después de una serie de incidentes que llevaron al despido de varios empleados y a una larga pelea con Google.