Seguint la recomanació del NIST (National Institute of Standards and Technology) que aconsella no utilitzar algorismes d'hashing criptogràfic que proporcionin una seguretat igual o menor a 80 bits d'informació (entre els quals es troba SHA1), des de les principals companyies desenvolupadores de navegadors web s'han realitzat diferents anuncis sobre els seus plans de renovació de certificats digitals o polítiques de certificats per deixar d'usar certificats SHA1.
Les guies de CA Navegador Forum, que conjuminen als principals desenvolupadors de navegadors web, han aprovat un document , que en el punto 7.3.1 también desaconseja el uso de SHA1.
En el que té a veure amb les connexions SSL, la comprovació que es realitzarà des dels navegadors afecta al certificat final i al certificat intermedi.
Els principals proveïdors estan d'acord en què a partir de l'1 de Gener de 2016 ja no s'haurien d'emetre certificats per part de les CA’s que usin algorismes SHA1 i, a partir de l'1 de Gener del 2017, no s'hauria de confiar en cap. Això s'implementarà en els navegadors mitjançant advertiments als usuaris, imatges de ‘https’ ratllades o en vermell, bloquejos, etc.
Per tant seria recomanable que aquestes limitacions es tinguessin en compte en cas que fos necessari renovar els certificats SSL, renovant els certificats per uns altres amb algorisme SHA256 o superior tant per al final com per a l'intermedi.
Això també afecta als certificats de signatura d'aplicacions.
A continuació es poden consultar alguns anuncis oficials:
- https://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html
- https://technet.microsoft.com/en-us/library/security/2880823.aspx
- https://technet.microsoft.com/library/security/2880823.aspx
- https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/
0 Comentaris
No hi ha comentaris