Los certificados SHA-1 son cada vez más inseguros, por lo que las medidas de CloudFlare y Facebook para mantener la compatibilidad con SHA-1 pueden parecer contradictorias. Sin embargo, ambas empresas argumentan que está en juego el acceso seguro de millones de usuarios.
UN ALGORITMO MENOS Y MENOS SEGURO
El Algoritmo de hash seguro 1 (SHA-1) se ha utilizado para la firma de certificados desde 1995 y hace tiempo que debió retirarse. Al descifrar SHA-1, los sombreros negros firman firmas falsas en sus propios certificados, y las conexiones HTTPS que utilizan estos certificados fraudulentos parecen completamente legítimas para los visitantes desprevenidos. Se sabe que SHA-1 es vulnerable al compromiso de atacantes con buenos recursos (léase: patrocinados por el estado) durante algún tiempo, pero la potencia informática que esto cuesta estaba fuera del alcance de la mayoría de los atacantes, hasta hace poco. UNA prueba en octubre de 2015 indicó que SHA-1 ahora se puede descifrar por aproximadamente el precio de un Porsche Panamera, dentro del presupuesto de muchas organizaciones criminales.
SHA-2 - MUELLE HACIA ADELANTE
Actualizando a SHA-2 Los certificados y el retiro de SHA-1 han sido fuertemente alentados por incondicionales de la industria como Mozilla, Google y Microsoft. Ninguna autoridad de certificación que siga las mejores prácticas de la industria emitirá certificados SHA-1 después del 31 de diciembre de 2015, y todos los principales navegadores rechazarán las conexiones SHA-1 antes del 1 de enero de 2017 (si no antes).
Pasar a los certificados SHA-2 proporcionará una Internet más fuerte y segura a largo plazo, pero en un ecosistema con más de tres mil millones de usuarios, la jubilación de SHA-1 seguramente causará algunos dolores de cabeza. Un número significativo de usuarios que utilizan software de cliente más antiguo o heredado (especialmente los usuarios del mundo en desarrollo) se enfrentarán a una dura elección: conexiones HTTPS que usan SHA-1, o ninguna seguridad.
SHA-1 - RETROCEDER
Esta es la razón Facebook y CloudFlare están implementando sus sistemas de reserva SHA-1, diseñados para servir automáticamente versiones de sus sitios con firma SHA-1 habilitadas para HTTPS a los visitantes detectados con tecnología anterior. Según las matemáticas de CloudFlare, SHA-2 asegura las conexiones al 98.31% de los navegadores del mundo, pero el 1.69% restante todavía representa a unos 37 millones de personas, concentradas en las partes más pobres y represivas del mundo, y que acceden a Internet a través de tecnología menos avanzada.
El objetivo declarado de ambas empresas es observar las mejores prácticas de la industria sin abandonar ese segmento de Internet limitado a las conexiones SHA-1. Con este fin, CloudFlare también ha propuesto la creación de una categoría de validación completamente nueva para certificados digitales agregando un SHA-1 específico Validación heredada (LV) categoría al canon existente de Dominio, organización y validación extendida tipos.
SSL.com lo hará que probar definitivamente mantenerlo informado sobre el progreso de esta propuesta.
