Google ha anunciado en su cronograma la desaprobación de los certificados SHA-1, a pesar de las preocupaciones expresadas recientemente de que la desactivación de éstos certificados desconectará millones desde Internet.
La desaparición de SHA-1 se ha acelerado en los últimos meses ya que los investigadores publicaron un artículo explicando que los ataques de colisión podrían durar ser meses, en lugar de años.
Google, el viernes, anunció que a partir de chrome 48 a principios de enero, los usuarios podrán ver los mensajes de error que aparecen si el navegador encuentra un sitio firmado con un certificado SHA-1 emitido a partir del 1 de enero 2016. El 1 de enero de 2017, o posiblemente el 01 de julio de 2016, SHA-1 será bloqueado por completo en Chrome. Microsoft ya ha anunciado que comenzará a bloquear certs firmados con SHA-1 desde junio de 2016.
En este punto, los sitios que tienen una firma con sede en SHA-1 como parte de la cadena de certificados (sin incluir la auto-firma en el certificado raíz) provocarán un error de red fatal «, dijo Google en su anuncio. «Esto incluye cadenas de certificados que terminan en un ancla de confianza local, así como aquellos que terminan en una CA pública»
Microsoft y Mozilla están en plazos similares para poner fin al apoyo para SHA-1, e instan a los operadores de sitios apoyar SHA-2.
Mientras tanto, Facebook y CloudFlare han hecho recientemente súplicas públicas para reexaminar la posibilidad de seguir con SHA-1. Jefe de seguridad de Facebook Alex Stamos compartió datos que muestran que hasta un 7 por ciento de los navegadores en uso no son compatibles con SHA-2, por ejemplo, y decenas de millones se cortaran a través de Internet a partir del próximo viernes.
«Un número desproporcionado de esas personas residen en países en desarrollo, y el resultado probable en esos condados será un retroceso grave en el despliegue de HTTPS por gobiernos, empresas y organizaciones no gubernamentales que desean llegar a sus poblaciones” escribió Stamos.
El CEO de CloudFlare Mateo príncipe, por su parte, hizo su caso al señalar que a diferencia de cuando MD5 se puso a pastar y SHA-1 el apoyo fue generalizado, lo mismo no puede decirse de SHA-256, que también no es compatible con los dispositivos móviles más antiguos.
«En una empresa de tecnología de Silicon Valley, donde la mayoría de los empleados reciben un nuevo ordenador portátil cada año y tener un teléfono de 5 años de edad, es inaudito, esto puede no parecer un problema. Sin embargo, Internet es utilizado por miles de millones de personas en todo el mundo y la mayoría de ellos no tienen la última tecnología», dijo Prince
Prince dijo que aproximadamente 37 millones podrían ser separados de Internet por la desaprobación del SHA-1. Stamos, por su parte, propuso que el CA / Browser Forum cree un nuevo certificado de verificación que emita a las organizaciones que han hecho de SHA-256 certs disponibles para navegadores Moder.
«Esta verificación puede ser automatizada o manual, y las medidas adecuadas se puede poner en marcha para reducir el riesgo de un ataque de colisión. Esas protecciones podrían incluir exigir a los solicitantes de BT para que ya han pasado OV o verificación EV, así como las mejores prácticas técnicas, como el número de serie de la asignación al azar «, escribió Stamos. «Si este cambio no puede aplicarse el 31 de diciembre, entonces pedimos a la CA / B retrasar la aplicación de las reglas de SHA-1 por un período necesario para establecer normas para los certificados de legado.»
«Este no es un tema fácil, y hay personas con buenas intenciones que no están de acuerdo», dijo Stamos. «Esperamos que podamos encontrar un camino a seguir que promueve las tecnologías de cifrado más fuertes sin dejar de lado a los que no pueden pagar los últimos y mejores dispositivos.»
Fuente: Thread Post
