Google quiere retirar SHA-1 de los certificados SSL de Internet por ser inseguro

El algoritmo criptográfico de hash SHA-1 se considera vulnerable, fue diseñado en el año 2005 y ha sido ampliamente utilizado hasta hace pocos años de forma masiva. Actualmente ya se conocen ataques de colisión contra SHA-1 por lo que no se considera seguro para usarlo como algoritmo HASH de una PKI.

Google sigue queriendo hacer de Internet un lugar seguro, y por este motivo ha comenzado un proceso para retirar los certificados SHA-1 de Internet. Con uno de los navegadores más utilizados de Internet, Google Chrome, pretende dar avisos a los usuarios de los sitios webs con HTTPS que tengan un certificado que use SHA-1 como algoritmo HASH y que sean válidos más allá del 1 de Enero de 2017, no aparecerá como una página web segura en la interfaz de Chrome.

El uso de SHA-1 en Internet se considera «deprecated» desde 2011, y es necesario sustituirlo por otros algoritmos HASH más seguros como SHA-2.

Google Chrome 39

Cuando Google lance esta versión del navegador (que se supone que será a finales de septiembre), los certificados que expiran después del 1 de Enero de 2017 y que incorporan SHA-1 como algoritmo hash, será tratado como «seguro pero con errores menores». El aspecto visual que veremos en las páginas web que no cumplan estos requisitos de seguridad aparecerán así:google_chrome_yellow-triangle

Google Chrome 40

Cuando salga a la luz este navegador (que se espera que salga a principios de Noviembre), los certificados que expiran entre el 1 de Junio de 2016 y el 31 de Diciembre de 2016 serán tratados como «seguro pero con errores menores», como el anterior. Sin embargo, los certificados que expiren más allá del 1 de Enero de 2017 y que aún estén usando SHA-1 serán considerados como «neutrales, carecen de seguridad». El aspecto visual que veremos en las páginas web que no cumplan estos requisitos de seguridad aparecerán así:google_chrome_neutral

Google Chrome 41

Los certificados que expiren entre el 1 de Enero y el 31 de Diciembre del 2016, y sigan incorporando SHA-1 como algoritmo de firma, serán tratados como «seguro pero con errores menores». Asimismo, los certificados con SHA-1 que expiren después del 1 de Enero de 2017 serán considerados como «inseguros» y saldrá nuestro sitio web con una cruz roja y el nombre «https» tachado, tal y como se puede ver en esta imagen:

google_chrome_red

Si eres el responsable de la página web de tu empresa, y usas SSL/TLS, os recomendamos renovar los certificados SSL de vuestro servidor y usar un algoritmo hash seguro.

Fuente: Blog Google Online Security