Google se plantea la eliminación de los certificados SHA-1 antes de tiempo

Google se plantea la eliminación de los certificados SHA-1 antes de tiempo

Rubén Velasco

Internet se mejora día a día. Cada vez son mayores las amenazas a las que se enfrentan los usuarios que se conectan a Internet, especialmente cuando hacemos referencia a sus datos y a la privacidad. Por ello, es de vital importancia utilizar conexiones seguras que eviten que, mientras intercambiamos información con distintos servidores, estos puedan caer en manos de usuarios no autorizados como piratas informáticos que puedan hacer mal uso de ellos.

A la hora de establecer conexiones seguras con servidores de páginas web o diferentes plataformas se utilizan certificados criptográficos. Existen muchos tipos de certificados diferentes que, según pasa el tiempo, van siendo más sencillos de crackear (debido al aumento de las técnicas de hacking y a la potencia de los equipos informáticos) así como pueden aparecer diferentes vulnerabilidades que permita a usuarios no autorizados descifrar la información protegida por estos certificados. Por ello, cuando un certificado se considera como inseguro, es habitual que los gigantes de Internet empiecen a rechazarlos, evitando establecer conexiones a través de ellos.

El próximo algoritmo que está en el punto de mira es SHA-1. Este algoritmo, creado por la NSA en 1995, ha sido considerado como inseguro por varios expertos de seguridad, quienes empezaron a recomendar su abandono a favor de otras opciones más robustas como SHA-2 con el fin de evitar que los datos de los usuarios pudieran verse comprometidos. En un principio, Google tenía previsto configurar su navegador Google Chrome para rechazar las conexiones seguras que utilizaran este algoritmo a principios de 2017, sin embargo, es posible que haya cambiado de idea y agilizado el proceso.

Según afirma el gigante de Internet, a partir de julio de 2016 su navegador web dejará de ser compatible con las conexiones SHA-1, forzando a los servidores a utilizar algoritmos más seguros y bloqueando la carga de las páginas web en caso de que no se puedan establecer conexiones que realmente sean consideradas como seguras.

Google no es el único que rechazará el uso de los certificados SHA-1 en los próximos meses. Mozilla, por otro lado, también bloqueará el uso de los certificados SHA-1 en su navegador Firefox a partir del 1 de julio de 2016.

sha1 vs sha-2

Los usuarios con navegadores modernos quedarán desconectados de Internet tras la eliminación de SHA-1

Aunque todo movimiento relacionado con la seguridad es bueno, grandes empresas de Internet como Facebook y Cloudflare aseguran que esto puede llegar a ser un problema, ya que muchos usuarios no tienen dispositivos compatibles con navegadores web modernos adaptados a los algoritmos más seguras, especialmente los usuarios de dispositivos móviles antiguos, quienes, una vez eliminado el soporte para las conexiones SHA-1, se verán, literalmente, desconectados de Internet.

Lo más probable es que antes de que esto ocurra, las principales desarrolladoras actualicen sus navegadores o creen alguna alternativa para que estos usuarios puedan seguir conectados a Internet sin problemas. Por el momento habrá que esperar a ver cómo se realiza el cambio y si no afecta a gran escala a Internet.

¿Qué opinas de la eliminación del soporte SHA-1 de los principales navegadores web?

Quizá te interese:

  • El algoritmo de seguridad SHA-1 ha sido roto. Debemos migrar a SHA-2 cuanto antes
  • Google quiere retirar SHA-1 de los certificados SSL de Internet por ser inseguro
  • El uso de SHA-2 en los certificados SSL aumenta, todo gracias a Heartbleed
  • SHA-3: El nuevo estándar de Hash aprobado por el NIST
¡Sé el primero en comentar!