Un documento digital emitido incorrectamente desató un intenso debate sobre las reglas de la corporación.
En el sistema Mozilla Bugzilla se discute un caso de emisión incorrecta de un certificado SSL relacionado con ICP-Brasil y el dominio google.com. El problema generó un debate entre especialistas, ya que el certificado fue emitido en violación de las normas establecidas.
El certificado se emitió a pesar de que el dominio google.com tiene configurado un registro CAA que permite la emisión de certificados solo a través de pki.goog. El análisis del certificado reveló múltiples irregularidades, incluidas configuraciones incorrectas de extensiones, orden inadecuado de los campos y otros errores técnicos.
Se descubrió que la autoridad certificadora nacional en Brasil, ICP-Brasil, emite certificados intermedios a otras organizaciones, como Certisign. Sin embargo, según la nueva política de ICP-Brasil, ya no se permite la emisión de certificados SSL/TLS fuera de ecosistemas cerrados como sistemas de pago.
Este certificado está destinado a Google Wallet en Brasil, incluida la plataforma de transferencias instantáneas Pix. Según las normas, su uso debería estar restringido a estas tareas específicas, pero el certificado estuvo disponible para un uso más amplio, lo que generó dudas entre los expertos.
Los participantes en el debate creen que la autoridad certificadora que emitió el certificado no verificó todas las condiciones y cometió un error. También señalaron que, desde que se identificó el problema, la autoridad certificadora no ha proporcionado una respuesta oficial ni explicado la situación, lo que ha generado críticas por la falta de control y la demora en la reacción.
Representantes de Mozilla declararon que están considerando agregar el certificado a la lista OneCRL para restringir su uso. Además, los especialistas señalaron la forma en que Microsoft supervisa el cumplimiento de las normas por parte de las autoridades certificadoras confiables, ya que este certificado es reconocido en el sistema de Microsoft para la autenticación de servidores.
En la discusión, se sugiere que Google podría haber solicitado el certificado sin considerar las nuevas restricciones de ICP-Brasil. Esto ocasionó un certificado inadecuado para su uso fuera del sistema de pagos. La situación requiere un análisis más detallado y explicaciones por parte de todas las partes, incluidas las autoridades certificadoras y las corporaciones que confían en estos certificados.