Google planea retirar los certificados SHA-1, y puede que sea antes de lo previsto.
SHA-1 - Rumbo al cementerio
La desaparición de SHA-1 ha sido segura durante una década: se demostró que era teóricamente vulnerable a los ataques ya en 2005. Los planes actuales elaborados por el Foro CA / B (la asociación comercial de la industria) detendrán la creación de nuevos certificados SHA-1 a partir del 1 de enero de 2016 y dejar de utilizar todos los certificados SHA-1 antes del 1 de enero de 2017.
Estudios recientes sugieren ahora que SHA-1 se verá comprometido mucho antes, y de forma más asequible, de lo que se pensaba. Por tanto, Google y otras empresas de tecnología están considerando ampliar sus plazos de jubilación. (También se descartó un borrador de la propuesta del Foro CA / B para permitir la emisión limitada de certificados SHA-1 hasta finales de 2016; los expertos en seguridad quieren que SHA-1 salga del tablero tan pronto como sea humanamente posible).
Plan de jubilación acelerado de Google
Google planea un proceso de dos pasos. En la primera etapa (ya en curso) los certificados SHA-1 encontrados por Chrome se marcan con mensajes de advertencia y señales de visualización. El segundo, el rechazo completo de todos los certificados SHA-1, puede adelantarse seis meses, hasta el 1 de julio de 2016.
Tanto Mozilla como Microsoft también están considerando esta fecha límite acelerada para sus navegadores, mientras que CloudFlare y Facebook son configurar soluciones alternativas para el pequeño porcentaje de sus usuarios que no tienen alternativa a los certificados SHA-1.
Vuelva a consultar con SSL.com; lo mantendremos informado a medida que se desarrolle esta historia.
