El ampliamente usado algoritmo SHA-1 para sitios web se vuelve inseguro

Aproximadamente el 90 % de los sitios web que utilizan el protocolo criptográfico SSL (o sea, cuya dirección inicia con https) utiliza un algoritmo llamado SHA-1 para evitar la suplantación del sitio. Aunque esto garantiza que al ingresar a https://wordpress.com uno visite el verdadero sitio de WordPress.com y protege las contraseñas de los usuarios, SHA-1 ha sido desde hace mucho peligrosamente débil, y cada año es más débil.

La solución es SHA-2, un algoritmo tan compatible como el otro, y los administradores de los sitios web simplemente deben actualizar los certificados de seguridad. Los certificados le indican a los navegadores web que el sitio web es real (siempre importante, pero más cuando se visita los sitios de entidades financieras, correos electrónicos y redes sociales) y cifra la conexión entre los usuarios y el sitio web.

Pero en los navegadores como Firefox esto no es suficiente, pues aunque cualquier certificado sirve para cifrar la conexión, el navegador verifica si este ha sido emitido por una autoridad de certificación (CA). Las CA normalmente cobran para emitir a los dueños de sitios web este archivo, y los navegadores han sido programados para confiar en ciertas CA e intermediarias, las cuales van desde entidades comerciales a agencias gubernamentales.

Los navegadores como Iceweasel, que están basados en Firefox, heredarán las mismas pautas de seguridad.

Desde 2005 se sabe que SHA-1 es un algoritmo vulnerable, y esto se demostró con el malware Flame, presuntamente creado por los Estados Unidos y el Reino Unido para atacar el programa nuclear de Irán en 2012. Y aunque Flame es un software sofisticado, no es muy difícil vulnerar al algoritmo SHA-1, y un atacante podría crear un certificado SHA-2 falso a partir de un certificado SHA-1, lo que reduce enormemente la seguridad de los usuarios. En concreto, la única manera de prevenirlo es retirando de nuestros navegadores la compatibilidad con SHA-1, y en algunos navegadores ya se está tomando medidas: Firefox e Internet Explorer dejarán de confiar en certificados SHA-1 después de 2016, y Google Chrome y Opera emitirán alertas acerca de la inseguridad de SHA-1 cuando se visiten sitios con estos certificados.

Para comprobar si un sitio web utiliza SHA-2, los administradores y los usuarios pueden visitar SHAAAAAAAAAAAAA.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: Fabio Lanari, Internet2, CC BY-SA 4.0
Imagen: Mantenedores de paquetes relacionados con Mozilla, Iceweasel, MPL 1.1

Fuente: «Why Google is Hurrying the Web to Kill SHA-1».

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s