>> ¿Qué problemas de seguridad plantea SHA-1?
>> ¿Cuándo entraron en vigor los cambios en los navegadores para los certificados SHA-1?
>> ¿Qué ha hecho DigiCert en respuesta a la necesidad de adoptar SHA-2?
>> ¿Qué hago si tengo un certificado SHA-2 y surge un problema?
>> ¿Tendrán problemas mis usuarios si mi sitio web está protegido con un certificado SSL SHA-2?
¿Qué problemas de seguridad plantea SHA-1?
Ningún algoritmo hash es completamente resistente a las colisiones. El nivel de resistencia a las colisiones de una función hash viene determinado por la dificultad de encontrar una colisión. La colisión se produce cuando un atacante encuentra dos hashes idénticos a partir de una determinada función hash. Por ejemplo, en un ataque de colisión consumado, el atacante crea un certificado asociado a una CA falsa. Los navegadores web confían en ese certificado, que puede utilizarse para suplantar sitios web protegidos con el protocolo HTTPS.
A medida que avanza la tecnología, la resistencia a las colisiones de una función hash se debilitará lo suficiente como para que sea necesario adoptar otra función hash más potente. En 2005, un equipo de investigación de China descubrió un punto débil en la propiedad de resistencia a las colisiones de SHA-1. Desde entonces, los ataques de las comunidades de investigación y criptología han ido mejorando, lo que hace prever que dentro de unos años el coste de reunir la potencia computacional necesaria para llevar a cabo un ataque de colisión con éxito será viable.
¿Cuándo entraron en vigor los cambios en los navegadores para los certificados SHA-1?
Como parte de su plan de migración a SHA-2, Microsoft, Google y Mozilla anunciaron que dejarían de confiar en los certificados SHA-1.
Cambios en los certificados SSL SHA-1:
Microsoft, Google y Mozilla comenzaron a eliminar gradualmente la confianza en los certificados SHA-1 en 2016. Esta es la cronología de los acontecimientos:
- Noviembre de 2014. Los certificados SSL SHA-1 que caduquen en cualquier momento de 2017 mostrarán una advertencia en Chrome.
- Diciembre de 2014. Los certificados SSL SHA-1 que caduquen después del 1 de junio de 2016 mostrarán una advertencia en Chrome.
- Enero de 2015. Los certificados SSL SHA-1 que caduquen en cualquier momento de 2016 mostrarán una advertencia en Chrome.
- Diciembre de 2015. Los certificados SSL SHA-1 emitidos después del 1 de enero de 2016 mostrarán el error de «conexión no fiable» en Firefox.
- Enero de 2016. Los certificados SSL SHA-1 emitidos después del 1 de enero de 2016 mostrarán un error de certificado en Chrome.
Criterios del certificado: firmado con una firma de base SHA-1, emitido después del 1 de enero de 2016 y encadenado a una CA pública. - 1 de enero de 2017. Microsoft, Google y Mozilla dejarán de confiar en todos los certificados SSL SHA-1.
Mozilla y Google afirman que es factible adelantar esta fecha al 1 de julio de 2016, en vista de los recientes ataques a SHA-1.
Microsoft afirma que es factible adelantar esta fecha a junio de 2016, en vista de los recientes ataques a SHA-1.
¿Qué ha hecho DigiCert en respuesta a la necesidad de adoptar SHA-2?
DigiCert siempre busca fórmulas para ofrecer a nuestros clientes la mejor experiencia en SSL. Tras el anuncio de Microsoft, DigiCert no emitió ningún certificado SHA-1 que caducara después de 2017 y estableció SHA-2 por defecto en todos los certificados comercializados. DigiCert le recomienda encarecidamente acelerar la implantación de SHA-2 siempre que sea posible y prepararse para migrar completamente a SHA-2, si aún no lo ha hecho.
¿Qué hago si tengo un certificado SHA-2 y surge un problema?
Pregunte al fabricante de su navegador o sistema operativo si existen actualizaciones que añadan compatibilidad con SHA-2.
¿Tendrán problemas los usuarios si mi sitio web está protegido con un certificado SSL SHA-2?
Todos los navegadores modernos admiten certificados SHA-2. Los usuarios de navegadores desfasados siempre están expuestos a numerosos problemas de seguridad, incluida la compatibilidad con SHA-2. DigiCert anima a los administradores a colaborar con los usuarios de sistemas antiguos y menos seguros para actualizar esos sistemas a la última versión.