Facebook revoca por completo sus certificados SHA-1

Facebook revoca por completo sus certificados SHA-1

Rubén Velasco

Cada vez, las conexiones privadas de los usuarios se ven más amenazas por distintos ataques informáticos. Por ello, para garantizar la máxima seguridad, fiabilidad y privacidad de los usuarios es necesario hacer uso de distintos algoritmos de cifrado que impidan que estas conexiones puedan ser intervenidas. Sin embargo, no todos los algoritmos son igual de seguros, y algunos, como el conocido algoritmo SHA-1, son inseguros y puede ser peligroso utilizarlos en determinadas conexiones. Os recomendamos leer nuestro tutorial sobre evitar rastreo de Facebook en Chrome.

SHA-1 es un algoritmo creado en 1995 por el NIST con el fin de ofrecer un algoritmo seguro para los usuarios. Este algoritmo, sucesor de SHA-0, publicado dos años atrás, fue declarado en 2005 como inseguro, aunque entonces era prácticamente imposible de crackear ya que requeriría incluso más trabajo que MD5. Sin embargo, en 2010, un grupo de piratas informáticos consiguió romper contraseñas que utilizaban este hash utilizando tan solo un servidor de Amazon Web Services de dos dólares. En 2015, finalmente, se rompió por completo toda la rutina de este algoritmo.

Los principales navegadores web llevan tiempo con intención de revocar todas las conexiones SHA-1, y, en los próximos meses, estas se bloquearán por completo. Sin embargo, aún sigue habiendo plataformas que, aunque han depreciado este algoritmo, aún siguen permitiendo las conexiones a través de él, como Facebook.

Calcular MD5 SHA-1 con FCIVEn octubre de 2015, la red social confirmó que había depreciado este algoritmo y que ahora todos los usuarios se conectarían por defecto a través de otros más seguros, sin embargo, aún era posible establecer conexiones a través de él si se especificaba adecuadamente (por ejemplo, para que los smartphones antiguos pudieran seguir conectándose). Aunque la compañía tenía intenciones de bloquear por completo el uso de SHA-1, pasaban los meses y esto no ocurría, hasta ahora.

El ingeniero de producción de Facebook ha confirmado que, desde el pasado mes de noviembre, la red social dejó de servir conexiones SHA-1 sin avisar y que, hasta la fecha, no ha habido el más mínimo impacto. Por ello, a partir de ahora, este certificado se va a revocar de los servidores, siendo, a partir de en breve, totalmente imposible conectarse a través de ellos a la red social.

La industria en busca de certificados más seguros como SHA-256

Poco a poco cada vez son más las plataformas que dejan de lado el uso de certificados SHA-1 a favor de otros certificados más seguros, al menos hasta la fecha, como SHA-256.

Las principales empresas de Internet, como Google, Facebook o Microsoft esperan que, poco a poco, todas las aplicaciones, plataformas y páginas web implementen certificados seguros para que la red, un lugar cada vez más inseguro, sea lo más seguro posible.

¿Crees que las webs están migrando correctamente hacia certificados seguros?