30 dic. 2015

Chrome y Mozilla no aceptarán SHA-1 a partir de julio de 2016

A la hora de establecer conexiones seguras con servidores de páginas web o diferentes plataformas se utilizan certificados criptográficos. Existen muchos tipos de certificados diferentes que, según pasa el tiempo, van siendo más sencillos de crackear (debido al aumento de las técnicas de hacking y a la potencia de los equipos informáticos) así como pueden aparecer diferentes vulnerabilidades que permita a usuarios no autorizados descifrar la información protegida por estos certificados. Por ello, cuando un certificado se considera como inseguro, es habitual que los gigantes de Internet empiecen a rechazarlos, evitando establecer conexiones a través de ellos.
El próximo algoritmo que está en el punto de mira es SHA-1. Este algoritmo, creado por la NSA en 1995, ha sido considerado como inseguro por varios expertos de seguridad, quienes empezaron a recomendar su abandono a favor de otras opciones más robustas como SHA-2 con el fin de evitar que los datos de los usuarios pudieran verse comprometidos. En un principio, Google tenía previsto configurar su navegador Google Chrome para rechazar las conexiones seguras que utilizaran este algoritmo a principios de 2017, sin embargo, es posible que haya cambiado de idea y agilizado el proceso.

Según afirma el gigante de Internet, a partir de julio de 2016 su navegador web dejará de ser compatible con las conexiones SHA-1, forzando a los servidores a utilizar algoritmos más seguros y bloqueando la carga de las páginas web en caso de que no se puedan establecer conexiones que realmente sean consideradas como seguras. La decisión se basa en estudios académicos recientes del Centrum Wiskunde & Informatica (CWI), Inria en Francia y Nanyang Technological University de Singapore (NTU Singapore). Desde aquí se puede descargar el PDF del estudio.
Hemos computado SHA-1 en Kraken, nuestro cluster de 64 GPU compuesto por 16 nodos, baratos y ampliamente disponible: 4 GPUs GTX-970, 1 procesador i5-4460 de Haswell y 16GB de RAM. El costo de romper SHA-1 es significativamente más bajo de lo que se pensaba.
Google no es el único que rechazará el uso de los certificados SHA-1 en los próximos meses. Mozilla, por otro lado, también bloqueará el uso de los certificados SHA-1 en su navegador Firefox a partir del 1 de julio de 2016.

Aunque todo movimiento relacionado con la seguridad es bueno, grandes empresas de Internet como Facebook y Cloudflare aseguran que esto puede llegar a ser un problema, ya que muchos usuarios no tienen dispositivos compatibles con navegadores web modernos adaptados a los algoritmos más seguras, especialmente los usuarios de dispositivos móviles antiguos, quienes, una vez eliminado el soporte para las conexiones SHA-1, se verán, literalmente, desconectados de Internet.

Lo más probable es que antes de que esto ocurra, las principales desarrolladoras actualicen sus navegadores o creen alguna alternativa para que estos usuarios puedan seguir conectados a Internet sin problemas. Por el momento habrá que esperar a ver cómo se realiza el cambio y si no afecta a gran escala a Internet.

Fuente: RedesZone

4 comentarios:

  1. y...como se puede saber cuales certificados son SHA1 y cuales no?

    ResponderEliminar
    Respuestas
    1. Hola Txetxu, es sencillo. Dos formas posibles:
      a) Abres el sitio web que te interesa y en el candado abres el certificado del sitio en el navegador y revisas el campo "algoritmo de firma" del certificado.
      b) abres algun sitio que comprueba certificados e introduces la URL del sitio web que te interesa. Por ejemplo puedes verificar en:
      https://www.ssllabs.com/ssltest/ o tambien en
      https://www.digicert.com/help/
      alli buscas "Signature algorithm" para el certificado del sitio.

      Slds.

      Eliminar
  2. la desactivación de SSL2 acfecta a SHA1?

    ResponderEliminar
  3. Anónimo4/7/16 07:48

    La deshabilitación de SSL2 afecta a SHA-1¿?

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!