Uno de los principales problemas de Internet es que muchas de las conexiones seguras fueron configuradas hace bastante tiempo y, aunque utilizan algoritmos que en aquel entonces eran seguros, como SHA-1 y RC4, estos, a día de hoy, presentan serias vulnerabilidades y son totalmente inseguros, llegando a poder comprometer los datos de los usuarios. Por suerte, poco a poco, esto está cambiando.
SHA-1 es un algoritmo de cifrado que data de 1995 y que ha estado presente en la informática y en las telecomunicaciones hasta 2010, cuando, debido a una serie de ataques y debilidades encontradas en él, empezó a ser sustituido por otras alternativas más modernas y seguras como SHA-2 y SHA-3.
A pesar de sus problemas de seguridad, este ha sido un algoritmo muy utilizado en todo el mundo, hasta el punto de que, a finales de 2015, el 50% de las conexiones con páginas web y servidores aún lo utilizaban. Por suerte, a lo largo de 2016, tanto los administradores de las páginas web como los responsables de los navegadores han estado intentando acabar con este algoritmo hasta el punto de que, en un año, el algoritmo SHA-1 ha dejado de tener un uso superior al 50% a suponer tan solo un 0.8% a día de hoy, según las funciones de telemetría de Firefox.
Los gigantes de Internet, como Facebook o CloudFlare, también están luchando por que este algoritmo inseguro tenga cada vez una cuota de mercado inferior de manera que, cuando llegue el momento, se bloquee por completo, permitiendo a los usuarios establecer conexiones algo más seguras y, sobre todo, complicando la tarea de los piratas informáticos.
Mozilla Firefox, Google Chrome y Microsoft Edge bloquearán los algoritmos SHA-1 a principios de 2017
A partir de Firefox 51, prevista para enero de 2017, todas las conexiones que utilicen este algoritmo inseguro serán marcadas como «conexiones de no confianza», mientras que poco más tarde, probablemente con Firefox 52 o 53, se bloquearán por completo, impidiendo a los usuarios de este navegador conectarse a través de este algoritmo.
Siguiendo los pasos del navegador de Mozilla, Chrome y Edge también bloquearán estas conexiones por defecto a principios de 2017 de manera que los usuarios que intenten acceder a una web con un certificado SHA-1 verán un mensaje de error y no podrán acceder a ella para evitar posibles peligros que se puedan esconder en ella y en sus comunicaciones.
Por suerte, si algunos usuarios tienen necesidades especiales (como certificados SHA-1 de acceso a una Intranet), el navegador de Mozilla seguirá permitiendo establecer estas conexiones siempre y cuando el certificado haya sido instalado manualmente como un certificado de raíz en el sistema operativo.
¿Crees que el bloqueo por completo del certificado SHA-1 supondrá muchos quebraderos de cabeza para los usuarios y administradores de sistemas?
Quizá te interese: