Por que aderir a certificados TLS/SSL SHA-2?
Enquanto seu parceiro de segurança, a DigiCert tornou o SHA-256 o padrão para todos os certificados TLS/SSL emitidos e recomenda intensamente que todos os clientes atualizem seus certificados SHA-1 para SHA-2. Fizemos isso porque o SHA-1 não é considerado seguro desde pelo menos 2006. Na verdade, o NIST abandonou o SHA-1 em 2011 e proibiu seu uso para assinaturas digitais em 2013. Os analistas de criptografia incentivaram os administradores a substituir seus certificados SHA-1, já que os riscos associados a esse tipo de certificado são maiores do que se esperava.
Como encontrar e substituir certificados SHA-1 rapidamente?
A ferramenta Discovery baseada em nuvem do DigiCert CertCentral® pode ajudar a encontrar e substituir rapidamente certificados TLS/SSL SHA-1 por certificados SHA-2 gratuitos da DigiCert. A ferramenta Discovery pode verificar se há certificados até nas redes distribuídas mais complexas. Também temos uma série de opções de verificação para localizar e monitorar todos os certificados, privados e públicos, seja qual for a autoridade de certificação (CA).
O TLS/SSH (Secure Shell Keys) Discovery tem dois componentes que ajudam a verificar a existência de certificados TLS e chaves SSH em redes.
- Verificação de nuvem: um opção rápida e fácil para localizar certificados TLS em servidores públicos. Essa alternativa não exige instalação e pode ser iniciada instantaneamente na interface do usuário no CertCentral.
- As verificações de rede encontram todos os certificados TLS públicos e privados em redes distribuídas complexas. Verifique seu ambiente por inteiro para gerar relatórios e ter uma visão completa de todos os certificados TLS e chaves SSH.
Quando devo mudar para o SHA-2?
O Google, a Mozilla e a Microsoft já deixaram de confiar nos certificados SSL SHA-1. Anteriormente, o Chrome mostrava avisos de SHA-1 em sites que usavam certificados desse tipo. Os administradores que ainda não substituíram seus certificados de SHA-1 por certificados de SHA-2 devem começar a fazer a troca agora.
Em agosto de 2014, o Google adotou uma postura ainda mais contundente, afirmando que o Chrome exibiria avisos a partir de novembro de 2014 em sites protegidos com certificados SHA-1, dado que eram pouco seguros. A intenção do Google é ajudar a substituir os certificados SHA-1 de modo acelerado e tornar essa transição mais simples do que a para o MD5.
Em outubro de 2015, uma equipe global de analistas de criptografia publicou um estudo que incentivava os administradores a substituir logo seus certificados SHA-1, já que os riscos associados a esse tipo de certificado são maiores do que se esperava. As descobertas publicadas são teóricas e ainda não foram comprovadas em circunstâncias práticas. Embora não pareça haver um perigo imediato, recomendamos intensamente que os administradores adotem o SHA-2 o quanto antes.
Os administradores devem considerar os possível efeitos dessa atualização e se prepararem para o seguinte:
- Hardware compatível com o SHA-2
- Atualizações do software do servidor compatível com o SHA-2
- Software cliente compatível com o SHA-2
- Aplicações personalizadas compatíveis com o SHA-2
Os navegadores e as CAs incentivaram que a migração para o SHA-2 fosse feita até 2017, mas estudos recentes devem encorajar as organizações a acelerar seus planos para atualizar a infraestrutura existente a fim de oferecer suporte ao SHA-2. Para mais informações sobre a cronologia do SHA-2, acesse nossas Perguntas frequentes sobre o SHA-2.