Seguindo a recomendación do NIST (National Institute of Standards and Technology) que aconseja no utilizar algoritmos de hashing criptográfico que proporcionen una seguridad igual o menor a 80 bits de información (entre los que se encuentra SHA1), desde las principales compañías desarrolladoras de navegadores web se han realizado diferentes anuncios sobre sus planes de renovación de certificados digitales o políticas de certificados para dejar de usar certificados SHA1.
As guías de CA Browser Forum, que axuntan aos principais desenvolvedores de navegadores web, aprobaron un documento , que no punto 7.3.1 tamén desaconsella o uso de XA1.
No que ten que ver coas conexións SSL, a comprobación que se realizará desde os navegadores afecta o certificado final e ao certificado intermedio.
Os principais provedores están de acordo en que a partir do 1 de Xaneiro de 2016 xa non se deberían emitir certificados por parte das CA’s que usen algoritmos XA1 e, a partir do 1 de Xaneiro do 2017, non se debería confiar en ningún. Isto implementarase nos navegadores mediante advertencias aos usuarios, imaxes de ‘https’ tachadas ou en vermello, bloqueos, etc.
Por tanto sería recomendable que estas limitacións se tivesen en conta no caso de que fose necesario renovar o certificados SSL, renovando os certificados por outros con algoritmo XA256 ou superior tanto para o final como para o intermedio.
Isto tamén afecta os certificados de sinatura de aplicacións.
A seguir pódense consultar algúns anuncios oficiais:
- https://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-xa-1.html
- https://technet.microsoft.com/en-us/library/security/2880823.aspx
- https://technet.microsoft.com/library/security/2880823.aspx
- https://blogue.mozilla.org/security/2014/09/23/phasing-out-certificates-with-xa-1-based-signature-algorithms/
0 Comentarios
Non hai comentarios