Microsoft prohíbe los certificados SHA-1 en Edge e Internet Explorer

Microsoft prohíbe los certificados SHA-1 en Edge e Internet Explorer 1

A partir de ayer, a través de las actualizaciones entregadas en el Patch Tuesday de mayo de 2017, los navegadores de Microsoft, como Edge e Internet Explorer, han comenzado a marcar los sitios web como inseguros si utilizan certificados SSL/TLS firmados con el algoritmo SHA-1.

El cambio se produjo después de que Mozilla prohibiera los certificados firmados por SHA-1 en Firefox 51 y Google en Chrome 56, ambas versiones de navegador publicadas en enero de 2017.

La depreciación SHA-1 comenzó en el otoño de 2015

Las razones por las que estos tres grandes navegadores prohibieron el SHA-1 fueron, inicialmente, debido a una investigación publicada en el otoño de 2015, que reveló que el coste financiero y computacional de romper el SHA-1 era más bajo de lo que nadie pensaba.

Ese otoño, los proveedores de navegadores acordaron un plan a largo plazo para desaprobar los certificados firmados por SHA-1 en la web. El primer paso importante se dio el 1 de enero de 2016, cuando se prohibió a las autoridades de certificación de confianza pública emitir nuevos certificados firmados con el algoritmo SHA-1.

El último paso en este proceso fue en enero de 2017, cuando todos los fabricantes de navegadores acordaron desconfiar de todos los certificados SSL/TLS firmados con el algoritmo SHA-1. Esto significaba que los navegadores mostrarían un error cuando un usuario intentaba navegar a un sitio HTTPS que encriptaba las comunicaciones utilizando un certificado SSL/TLS firmado con SHA-1

.

Microsoft llegó tarde a esta fiesta, pero ahora, la empresa se ha alineado con Google y Mozilla en esta postura.

Google y otros rompieron el SHA-1 en febrero de 2017

La decisión no podría haber llegado antes, ya que el 23 de febrero de 2017, Google y otros investigadores anunciaron el primer ataque de colisión SHA-1.

Para su investigación, Google generó dos archivos diferentes que tenían la misma firma digital SHA-1. Dado que los certificados SSL/TLS no son más que archivos, esto significaba, al menos en teoría, que alguien podía crear dos certificados SSL/TLS con el mismo hash SHA-1 y hacerse pasar por sitios legítimos. Afortunadamente, en ese momento, Google y Mozilla ya estaban mostrando errores al acceder a este tipo de sitios.

En un aviso de seguridad que acompañó al martes del parche de mayo de 2017, Microsoft explica su decisión de prohibir los certificados firmados SHA-1 en Edge e Internet Explorer, e insta a los propietarios de sitios web a migrar al uso de certificados firmados SHA-2.

SHA-1 es un algoritmo creado por investigadores de la NSA en los años 90 que se ha utilizado en las últimas décadas para crear una firma digital para archivos o flujos de datos. A mediados de la década de 2000, cuando se hizo evidente que teóricamente alguien podía romper los hashes SHA-1, los expertos en seguridad empezaron a aconsejar a las organizaciones que utilizaran las funciones SHA-2 o hash más potentes para crear firmas digitales para archivos confidenciales.

Contenido relacionado

Deja un comentario