El algoritmo de encriptación SHA-1 tiene los días contados. Habiendo pasado más de 20 años desde su lanzamiento y más de un lustro desde que fuera efectivamente considerado como no seguro finalmente en los próximos meses los principales navegadores (Firefox, Edge, Chrome) dejarán de aceptar sus certificados SSL.

connection untrusted

 

 

Diseñado y lanzado a mediados de los 90 por la NSA, el algoritmo SHA-1 con el paso del tiempo y la labor de diferentes investigadores ha ido perdiendo poco a poco su halo de seguridad. Paulatinamente se han ido descubriendo diferentes formas de atacarlo reduciendo exponencialmente el tiempo y la capacidad de computación necesarias para romperlo. Llegando a un extremo, con los ataques de colisión, en el que se dejó de considerar el algoritmo como seguro recomendándose su abandono por otros algoritmos más modernos.

Como decíamos, finalmente en los próximos meses los tres principales navegadores dejarán de aceptar los certificados basados en SHA-1. Como siempre ocurre sigue existiendo una gran masa de páginas webs utilizando este tipo de certificados. En principio los navegadores no bloquearán el acceso a estas páginas webs sino que informarán claramente al usuario de que el sitio al que se va a acceder no dispone de un certificado confiable y que por tanto no es seguro. Solo este paso supondrá que la mayoría de usuarios dejen de acceder al mismo.

Existirá eso sí una diferenciación inicial en cuanto al origen de la Autoridad Certificadora (CA) del certificado. Afectando en un primer momento en mayor medida a aquellos certificados de CA públicas y dando un cierto margen a aquellos certificados firmados por una CA a nivel local en la red de la empresa que podrán seguir funcionando durante un tiempo a través de diferentes configuraciones en los navegadores locales.

En principio las fechas de este movimiento serían las de Enero 2017 para Firefox (versión 51) y Febrero 2017 para IE, Edge y Chrome (versión 56). Y vosotros, ya habéis revisado vuestros certificados?

Fuente
Mozilla
Google
Microsoft