14 de septiembre de 2014

GOOGLE. Pretende retirar SHA-1 de los certificados SSL de Internet por ser inseguro

El algoritmo criptográfico de hash SHA-1 se considera vulnerable, fue diseñado en el año 2005 y ha sido ampliamente utilizado hasta hace pocos años de forma masiva. Actualmente ya se conocen ataques de colisión contra SHA-1 por lo que no se considera seguro para usarlo como algoritmo HASH de una PKI.
El uso de SHA-1 en Internet se considera “deprecated” desde 2011, y es necesario sustituirlo por otros algoritmos HASH más seguros como SHA-2.
Google Chrome 39
  • Cuando Google lance esta versión del navegador (que se supone que será a finales de septiembre), los certificados que expiran después del 1 de Enero de 2017 y que incorporan SHA-1 como algoritmo hash, será tratado como “seguro pero con errores menores”. 
Google Chrome 40
  • Cuando salga a la luz este navegador (que se espera que salga a principios de Noviembre), los certificados que expiran entre el 1 de Junio de 2016 y el 31 de Diciembre de 2016 serán tratados como “seguro pero con errores menores”, como el anterior. Sin embargo, los certificados que expiren más allá del 1 de Enero de 2017 y que aún estén usando SHA-1 serán considerados como “neutrales, carecen de seguridad”. 
Google Chrome 41
  • Los certificados que expiren entre el 1 de Enero y el 31 de Diciembre del 2016, y sigan incorporando SHA-1 como algoritmo de firma, serán tratados como “seguro pero con errores menores”. Asimismo, los certificados con SHA-1 que expiren después del 1 de Enero de 2017 serán considerados como “inseguros” y saldrá nuestro sitio web con una cruz roja y el nombre “https” tachado.
Si es el responsable de la página web de su empresa, y usa SSL/TLS, le recomendamos renovar los certificados SSL de su servidor y usar un algoritmo hash seguro.
Fuente: Blog Google Online Security