Hasta ahora, los principales navegadores web muestran un aviso a los usuarios siempre que estos intentan conectarse a una web a través de un certificado inseguro como, por ejemplo, los SHA-1. Sin embargo, tras confirmar que, de verdad, queremos acceder a él, la conexión se establece sin problemas. Google ya lleva anunciando que, dentro de poco, su navegador web dejará de conectarse a las webs y los servidores que utilicen estos certificados demostrados como inseguros y, tras muchos avisos, la compañía por fin ha dictado sentencia a los certificados SHA-1.
Tal como podemos leer en el blog de seguridad de Google, a partir de Google Chrome 56, el navegador de la compañía no permitirá conectarse a ninguna web que utilice estos certificados. Esta versión está programada para finales de enero de 2017, sin embargo, esta no es la fecha límite para el soporte de los certificados SHA-1, sino que el cambio se irá incrementando desde la versión Canary a la Beta de Chrome 26 y de ella a la estable para todos los usuarios.
Una vez que llegue esta versión, el navegador no se conectará a estas webs de ninguna manera, ni confirmando una ventana ni nada. Por ello, Google recomienda a los administradores comprobar si sus webs utilizan certificados actualizados y, de no ser así, contactar con su CA pera solicitar un nuevo certificado SHA-256.
De todas formas, para no causar demasiados quebraderos de cabeza a las empresas más complejas, la compañía va a habilitar la política «EnableSha1ForLocalAnchors» que permite validar los certificados SHA-1 si estos están instalados localmente en los sistemas, aunque no se sabe por cuánto tiempo esto estará vigente, por lo que, aun así, se recomienda actualizar cuanto antes.
Mozilla Firefox y Microsoft Edge también bloquearán en breve estos certificados
Google no es la única compañía que quiere que Internet sea un lugar más seguro y va a bloquear las webs que utilicen estos certificados. Tal como ya hemos dicho en otras ocasiones, los otros navegadores más utilizados, como Firefox y Edge también van a tomar a principios de 2017 la misma decisión y a bloquear todas las páginas web que utilicen estos certificados.
Muchos de los algoritmos de cifrado utilizados han sido creados hace años y, aunque entonces eran seguro, las nuevas tecnologías, los nuevos protocolos y la potencia de un ordenador doméstico han conseguido descubrir fallos en su seguridad, romper el algoritmo y hacerlo inseguro. Por ello, para evitar que los piratas informáticos consigan interferir las conexiones aparentemente seguras, es necesario que los administradores y responsables de las webs utilicen certificados con algoritmos modernos y, sobre todo, seguros.
¿Qué te parece esta decisión? ¿Crees que poco a poco Internet va siendo un lugar más seguro?