¿Está preparado para el paso a SHA-2?
¿Está preparada su empresa para la desaparición de SHA-1? Los plazos para el paso a SHA-2 son cada vez más cortos y la desaparición de SHA-1 se acerca rápidamente. Según InfoWorld, SHA-1 se consideraba seguro, pero se ha demostrado que contiene fallos criptográficos. Los expertos en seguridad y los criptógrafos creen que el hash SHA-1 ya no es seguro y quesu vida útil está disminuyendo rápidamente.
Un breve resumen para quien no esté familiarizado con SHA-1 frente a SHA-2:
- Los valores hash ayudan a garantizar la integridad de una determinada pieza de datos porque está prácticamente garantizado que son únicos e impredecibles. Secure Hash Algorithm (SHA) es un tipo de función hash criptográfica creada para garantizar que los datos no han sido modificados.
- La Agencia de Seguridad Nacional (NSA) diseñó SHA-1 en 1995. Es una función hash de 160 bits, lo que significa que todos y cada uno de los datos posibles se convertirán en un número de 160 bits.
- Hasta hace poco, SHA-1 era ampliamente adoptado y soportado por la mayoría de dispositivos y sistemas que utilizan funciones hash criptográficas.
- En 2002, SHA-2 se convirtió en el nuevo estándar hash recomendado. SHA-2 se conoce a menudo como la familia de hashes SHA-2 porque contiene hashes de diferentes tamaños, incluyendo compendios de 224, 256, 384 y 512 bits, y se considera criptográficamente fuerte. El hash de cifrado utilizado en SHA-2 es significativamente más fuerte y no está sujeto a las mismas vulnerabilidades que SHA-1.
En esencia, SHA-1 ya no es fuerte, SHA-2 es la alternativa más segura, y todas las organizaciones deberían hacer la transición. El riesgo de seguir utilizando certificados SHA-1 es incontrovertible.
Actualización de los plazos de amortización
El 31 de diciembre de 2016 es la fecha oficial para aceptar SHA-1. Por desgracia, tal y como informa InfoWorld, no todos los proveedores tienen las mismas fechas de caducidad, yestas cambian constantemente, razón de más para completar la migración a SHA-2 lo antes posible.
Por el momento, Microsoft ha trasladado su fecha límite al 14 de febrero de 2017. Google ha anunciado que los sitios HTTP cuyas cadenas de certificados utilicen SHA-1 y sean válidas con posterioridad al 1/1/17 dejarán de aparecer como plenamente fiables en la pantalla de usuario de Chrome.
Interfaz. El 20/10/15, Mozilla anunció una reevaluación de cuándo empezaría a rechazar todos los certificados SHA-1 SSL (independientemente de cuándo se hubieran emitido). El plan seguía siendo hacer este cambio el 1/1/17, pero a la luz de los recientes ataques a SHA-1, Mozilla también estaba considerando la viabilidad de tener una fecha límite tan pronto como el 7/1/16 (que fue el pasado julio).
Independientemente de las fechas de depreciación previstas por los proveedores, lo más seguro es considerar el 31 de diciembre de 2016 como la fecha límite oficial.
No migrar: las consecuencias
Las organizaciones y los usuarios que no adopten SHA-2 corren el riesgo de no poder confiar en la autenticidad de los datos. En el caso de los navegadores de cara al público, los usuarios recibirán notificaciones de "conexiones no fiables" o incluso experimentarán la falta de acceso, todo ello debido a un certificado SHA-1 vulnerable.
Dado el menor coste y los crecientes avances en potencia de cálculo y criptoanálisis, no es cuestión de si se producirá una colisión SHA-1, sino de cuándo.
Las organizaciones que emiten o consumen certificados necesitan un plan de transición; las CA y los navegadores líderes del sector se lo están tomando en serio. Lo mismo deberían hacer las organizaciones que gestionan su propia infraestructura PKI, CA y certificados digitales. Tanto las organizaciones grandes como las pequeñas son vulnerables hoy en día, y reaccionar tras una interrupción del servicio o una brecha en la seguridad será feo y podría costar millones de dólares.
Ejecución de la mudanza
Si necesita los servicios profesionales de un experto en PKI externo, el momento de entrar en su radar era ayer, así que no se demore más. Muchas organizaciones de consultoría de PKI ya han llenado sus agendas con proyectos de transición a SHA-2.
Las prácticas recomendadas para la migración a SHA-2 variarán en función del modo en que sus organizaciones emitan los certificados, pero a continuación se ofrecen algunas sugerencias de alto nivel:
| Certificados emitidos por una CA interna | Certificados emitidos por una CA de terceros | Certificados emitidos por múltiples fuentes |
|
|
|
No vaya por libre en la migración a SHA-2
Para obtener información detallada sobre las fechas previstas para la desaparición de SHA-2 y las mejores prácticas para la migración a SHA-2, descargue "SHA-1 Deprecation Challenges and Solutions" (Retos y soluciones para la desaparición de SHA-1), elaborado por CSS Research.
Si tiene alguna pregunta sobre la migración a SHA-2 o está buscando expertos en PKI que le ayuden en la transición, no dude en ponerse en contacto con los profesionales de PKI de CSS o llámenos al 877.715.5448 para obtener asistencia inmediata. Los expertos de PKI de CSS están trabajando activamente con los clientes para ayudarles a abordar su situación única a través de comprobaciones de salud de PKI y compromisos de servicios profesionales de PKI.
