Google quiere retirar SHA-1 de los certificados SSL de Internet por ser inseguro

Escrito por Sergio De Luz
Seguridad
1

El algoritmo criptográfico de hash SHA-1 se considera vulnerable, fue diseñado en el año 2005 y ha sido ampliamente utilizado hasta hace pocos años de forma masiva. Actualmente ya se conocen ataques de colisión contra SHA-1 por lo que no se considera seguro para usarlo como algoritmo HASH de una PKI.

Google sigue queriendo hacer de Internet un lugar seguro, y por este motivo ha comenzado un proceso para retirar los certificados SHA-1 de Internet. Con uno de los navegadores más utilizados de Internet, Google Chrome, pretende dar avisos a los usuarios de los sitios webs con HTTPS que tengan un certificado que use SHA-1 como algoritmo HASH y que sean válidos más allá del 1 de Enero de 2017, no aparecerá como una página web segura en la interfaz de Chrome.

El uso de SHA-1 en Internet se considera “deprecated” desde 2011, y es necesario sustituirlo por otros algoritmos HASH más seguros como SHA-2.

Google Chrome 39

Cuando Google lance esta versión del navegador (que se supone que será a finales de septiembre), los certificados que expiran después del 1 de Enero de 2017 y que incorporan SHA-1 como algoritmo hash, será tratado como “seguro pero con errores menores”. El aspecto visual que veremos en las páginas web que no cumplan estos requisitos de seguridad aparecerán así:google_chrome_yellow-triangle

Google Chrome 40

Cuando salga a la luz este navegador (que se espera que salga a principios de Noviembre), los certificados que expiran entre el 1 de Junio de 2016 y el 31 de Diciembre de 2016 serán tratados como “seguro pero con errores menores”, como el anterior. Sin embargo, los certificados que expiren más allá del 1 de Enero de 2017 y que aún estén usando SHA-1 serán considerados como “neutrales, carecen de seguridad”. El aspecto visual que veremos en las páginas web que no cumplan estos requisitos de seguridad aparecerán así:google_chrome_neutral

Google Chrome 41

Los certificados que expiren entre el 1 de Enero y el 31 de Diciembre del 2016, y sigan incorporando SHA-1 como algoritmo de firma, serán tratados como “seguro pero con errores menores”. Asimismo, los certificados con SHA-1 que expiren después del 1 de Enero de 2017 serán considerados como “inseguros” y saldrá nuestro sitio web con una cruz roja y el nombre “https” tachado, tal y como se puede ver en esta imagen:

google_chrome_red

Si eres el responsable de la página web de tu empresa, y usas SSL/TLS, os recomendamos renovar los certificados SSL de vuestro servidor y usar un algoritmo hash seguro.

Fuente: Blog Google Online Security


Noticias relacionadas

Comentarios


1 comentario
  1. nova6k0 09 Sep, 14 15:55

    Buen movimiento para la seguridad. De la misma forma que Mozilla con el Firefox 32, considerará insegura cualquier web, con certificado de 1.024 bits (certificados rotos por la NSA, entre otros).

    No en vano ahora mismo, por un movimiento en este aspecto, más de 170.000 webs ya no aparecen como seguras. Porque los certificados han sido revocados.

    Salu2

    Responder
    0