A estas alturas seguramente esté algo cansado de oír hablar de SHA-1, ¡venimos anunciando su desuso desde 2014! Afortunadamente para usted y para mí, probablemente esta sea la última vez que nos refiramos a este algoritmo antiguo y obsoleto, ya que los navegadores dejarán de aceptarlo de forma definitiva.
¿No sabe de lo que hablo? Es el momento de salir del lugar en el que se ha escondido durante los últimos dos años. Ya debería usar el algoritmo SHA-256 en sus certificados SSL/TLS. Si sigue utilizando la versión SHA-1 en sus sitios web públicos a comienzos de 2017, se enfrentará a muchos problemas. Tras lanzar múltiples advertencias y reducir la compatibilidad, los tres principales proveedores de navegadores – Google, Mozilla y Microsoft – han anunciado su intención de interrumpir completamente la compatibilidad con SHA-1. En este caso, interrumpir la compatibilidad implicará la visualización de mensajes de alerta o el bloqueo del acceso a su sitio web.
Los navegadores planean interrumpir la compatibilidad con SHA-1
Google Chrome
La semana pasada, Google anunció la interrupción definitiva de su compatibilidad con SHA-1. Comenzando por Chrome 56, cuyo lanzamiento está previsto para finales de enero de 2017, TODOS los certificados SSL/TLS que usan SHA-1 emitidos a partir de raíces de confianza pública dejarán de gozar de confianza.
Ejemplo de error que los visitantes visualizarán al llegar a un sitio que use SHA-1 con Chrome. (Fuente: Google)
Mozilla Firefox
En octubre, Mozilla anunció que Firefox mostrará un error de "Conexión sin confianza" al tratar de navegar hasta un sitio que utilice SHA-1. Esta política se incluirá en primera instancia en Firefox 51, cuyo lanzamiento está programado para finales de enero de 2017.
Ejemplo de error que los visitantes visualizarán al llegar a un sitio que use SHA-1 con Firefox. (Fuente: Mozilla)
Microsoft Edge e Internet Explorer
Según el anuncio publicado a comienzos de este mes, a partir del 14 de febrero de 2017 Microsoft Edge e Internet Explorer 11 mostrarán un mensaje de "alerta de certificado no válido" en todos los sitios que utilicen SHA-1 e impedirán que la página se cargue.
Ejemplo de error que los visitantes visualizarán al llegar a un sitio que use SHA-1 con Edge o IE11. (Fuente: Microsoft)
¿Es consciente de las consecuencias? ¡Asegúrese de que sus sitios no utilizan SHA-1!
Cómo localizar los certificados SHA-1
Si no está seguro de si sus certificados utilizan SHA-1 o le preocupa que haya algún certificado oculto en alguna parte de su arquitectura, le ofrecemos algunos consejos para salir de dudas.
Para clientes de GlobalSign – Iniciar sesión y ejecutar un informe
Si es cliente de GlobalSign, lo más sencillo es localizar los inoportunos certificados SHA-1 ejecutando un informe desde su cuenta. Diríjase a Buscar Historial de Pedidos (Search Order History) tras iniciar sesión para visualizar la lista de todos sus certificados. Podrá filtrar fácilmente la lista por algoritmo de firma y así identificar inmediatamente los certificados que utilizan SHA-1. También podrá exportar esta lista a un archivo .csv si lo necesita.
Ejemplo de resultados del informe en busca de SHA-1 en el portal de clientes de GlobalSign.
Utilice nuestra herramienta de inventario de certificados
La Herramienta de Inventario de Certificados (CIT, por sus siglas en inglés) de GlobalSign es gratuita y está disponible para todas las empresas. Puede ejecutarse a través de un intuitivo portal online en el caso de los certificados públicos o como un agente local para inventariar los certificados en toda su red (interna y pública), independientemente de la Autoridad de Certificación emisora. Este informe de certificados SHA-1 preconfigurado le permite comenzar a localizar sus certificados SHA-1 en cuestión de minutos.
Se trata de una excelente opción si cuenta con certificados emitidos por distintas Autoridades de Certificación o sospecha que podría haber algún certificado rebelde en su entorno.
Consulte los datos del certificado
Si solo gestiona unos cuantos dominios, quizá sea más sencillo visitarlos y consultar los certificados. La forma de hacerlo varía ligeramente de un navegador a otro. De forma general, al hacer clic en el candado de la URL, tendrá la opción de visualizar más detalles del certificado y podrá hacer clic para ver el propio certificado. Aquí encontrará el algoritmo de firma.
Ejemplo de datos de certificado usando Google Chrome.
Sustitución de certificados SHA-1
Si localiza certificados SHA-1 en sitios web accesibles de forma pública, deberá remitirlos tan pronto como sea posible utilizando el algoritmo SHA-256. GlobalSign permite un número ilimitado de reemisiones. Si utiliza una Autoridad de Certificación distinta, deberá consultar su política.
No exagero cuando digo que lo haga tan pronto como sea posible. No piense que tiene hasta finales de enero para hacerlo. ¿Realmente quiere gestionar todo el proceso a la vuelta de las vacaciones? Seguro que no.
Si tiene alguna pregunta sobre cómo migrar de SHA-1 a SHA-256, no dude en ponerse en contacto con nuestro equipo de soporte.
¿No puede vivir sin SHA-1? Tenemos la solución
A estas alturas, SHA-256 cuenta con una amplia compatibilidad con la mayoría de navegadores, servidores y aplicaciones. En cualquier caso, es posible alguna de sus aplicaciones más antiguas no sea compatible con este nuevo algoritmo y aún no sea capaz de migrar. La semana pasada, un cliente nos solicitó un certificado para firmar solicitudes SOAP que requerían el uso de SHA-1 por un requisito de integración antiguo.
Aunque GlobalSign ha dejado de emitir certificados SSL/TLS SHA-1 desde sus raíces públicas, cuenta con una línea independiente de productos emitidos desde Autoridades de Certificación no públicas denominados IntranetSSL. That solution is ideal for these legacy SHA-1 needs, or a number of other use cases that aren’t allowed in publicly trusted certificates, because you can get the configuration you need without having to run your own CA or rely on self-signed certificates. Se trata de la solución ideal para estos casos y para otras situaciones que no están permitidas en certificados de confianza pública, ya que el cliente puede disfrutar de la configuración que necesita sin necesidad de contar con una Autoridad de Certificación propia o confiar en certificados de firma propia. Lo único que deberá hacer es vincular la raíz IntranetSSL SHA-1 a todos los navegadores y aplicaciones de sistema que necesitan conectarse con servidores SHA-1.
En el anuncio que mencioné anteriormente, los tres principales navegadores confirmaron que continuarán ofreciendo compatibilidad con los certificados SHA-1 que enlacen con un certificado raíz instalado manual o localmente (por ejemplo, la raíz IntranetSSL). Aunque no está claro hasta cuándo ofrecerán esta compatibilidad, Google afirma que el final llegará con la primera publicación de Chrome tras el 1 de enero de 2019. En cualquier caso, también deja la puerta abierta a una posible interrupción anterior si se detecta una violación grave del cifrado de SHA-1. Por su parte, Mozilla y Microsoft no mencionan las fechas del final de la compatibilidad, aunque recomiendan a todos los usuarios dejar de utilizar certificados SHA-1 tan pronto como sea posible.
Aunque todavía podrá seguir utilizando certificados SHA-1 para usos internos durante un tiempo (GlobalSign le ofrece una solución sencilla para hacerlo), en el futuro deberá dar el paso a SHA-256. Quizá sea un buen momento para comenzar a pensar en cómo abordará la migración de estos sistemas anteriores para no quedarse atrás si los navegadores interrumpen la compatibilidad de forma inesperada.
¿Tiene alguna pregunta sobre cómo migrar a SHA-256 o cómo responder a los requisitos de SHA-1 de sus sistemas antiguos? nosotros ¡estaremos encantados de ayudarle! Entre en contacto.