Seguindo a recomendación do NIST (National Institute of Standards and Technology) que aconsella non utilizar algoritmos de hashing criptográfico que proporcionen unha seguridade igual ou menor a 80 bits de información (entre os que se atopa XA1), desde as principais compañías desenvolvedoras de navegadores web realizáronse diferentes anuncios sobre os seus plans de renovación de certificados dixitais ou políticas de certificados para deixar de usar certificados XA1.
As guías de CA Browser Forum, que axuntan aos principais desenvolvedores de navegadores web, aprobaron un documento , que no punto 7.3.1 tamén desaconsella o uso de XA1.
No que ten que ver coas conexións SSL, a comprobación que se realizará desde os navegadores afecta o certificado final e ao certificado intermedio.
Os principais provedores están de acordo en que a partir do 1 de Xaneiro de 2016 xa non se deberían emitir certificados por parte das CA’s que usen algoritmos XA1 e, a partir do 1 de Xaneiro do 2017, non se debería confiar en ningún. Isto implementarase nos navegadores mediante advertencias aos usuarios, imaxes de ‘https’ tachadas ou en vermello, bloqueos, etc.
Por tanto sería recomendable que estas limitacións se tivesen en conta no caso de que fose necesario renovar o certificados SSL, renovando os certificados por outros con algoritmo XA256 ou superior tanto para o final como para o intermedio.
Isto tamén afecta os certificados de sinatura de aplicacións.
A seguir pódense consultar algúns anuncios oficiais:
- https://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-xa-1.html
- https://technet.microsoft.com/en-us/library/security/2880823.aspx
- https://technet.microsoft.com/library/security/2880823.aspx
- https://blogue.mozilla.org/security/2014/09/23/phasing-out-certificates-with-xa-1-based-signature-algorithms/