SHA-1 es un algoritmo creado por investigadores de la NSA en los años 90 para proteger (dentro de lo que podamos fiarnos de la NSA) las comunicaciones. A mediados de la primera década de los 2000 se encontraros graves debilidades en este algoritmo que podía permitir que alguien, en teoría, podría romper la seguridad de este algoritmo y duplicar los hashes del mismo, aunque no ha sido hasta hace 3 meses cuando Google, finalmente, demostró que este algoritmo estaba totalmente roto y es de vital importancia cambiar a nuevos y más seguros algoritmos.
En realidad, la depreciación de este algoritmo no es algo nuevo, sino que los navegadores llevan ya más de dos años, desde 2015, intentando convencer a los desarrolladores para migrar a nuevos algoritmos con intenciones de dejar, tarde o temprano, de dar soporte a este nuevo algoritmo en las conexiones.
Mientras que Mozilla eliminó el soporte para los certificados SHA-1 con la llegada de Firefox 51 a principios de año y Google lo hizo en la versión 56 de su navegador Google Chrome, ahora le ha llegado el turno a Microsoft de hacer de Internet un lugar un poco más seguro.
De esta manera, con los parches de seguridad que la compañía liberó el pasado martes y que desde ayer están llegando a los usuarios de su sistema operativo, sus dos navegadores, Microsoft Edge e Internet Explorer, ya consideran las páginas web que utilizan certificados SHA-1 como páginas inseguras, advirtiendo al usuario cada vez que intentan acceder a ellas.
Aunque esta decisión llega 3 meses más tarde que su principal rival Google Chrome, sin duda es un movimiento importante de cara a la seguridad de las conexiones. Microsoft advierte de nuevo a los desarrolladores que aún utilicen este tipo de conexiones de migrar a un nuevo algoritmo más seguro y robusto, como SHA-2, ya que, de lo contrario, los usuarios que intenten entrar desde sus navegadores verán una advertencia como la anterior que, probablemente, les haga dar marcha atrás para evitar problemas.
Cómo acceder a las páginas web con certificados SHA-1 desde Internet Explorer o Microsoft Edge
Como hemos visto, a partir de ahora, las webs que utilicen estos certificados obsoletos e inseguros mostrarán un mensaje de advertencia al intentar acceder a ellas desde estos navegadores. Como los otros navegadores web alternativos como Firefox y Google Chrome también bloquean la carga de estas páginas web defecto, no nos sirve con utilizar simplemente uno de estos navegadores para cargar estas páginas.
Como las páginas no se bloquean (de momento) por completo, sino que simplemente se las considera como «inseguras», al acceder a ellas, desde la página de advertencia, vamos a poder ver pulsar sobre el enlace «Continuar a esta página web» para pasar de este mensaje de aviso y acceder sin problemas a la página web, eso sí, bajo nuestra responsabilidad ya que, como se ha demostrado, el certificado SHA-1 está roto, por lo que ni podemos estar seguros del certificado ni de que nuestros datos no vayan a ser registrados y robados por otros.
¿Crees que es necesario acabar cuando antes con los certificados SHA-1?