El ampliamente usado algoritmo SHA-1 para sitios web se vuelve inseguro

Aproximadamente el 90 % de los sitios web que utilizan el protocolo criptográfico SSL (o sea, cuya dirección inicia con https) utiliza un algoritmo llamado SHA-1 para evitar la suplantación del sitio. Aunque esto garantiza que al ingresar a https://wordpress.com uno visite el verdadero sitio de WordPress.com y protege las contraseñas de los usuarios, SHA-1 ha sido desde hace mucho peligrosamente débil, y cada año es más débil.

La solución es SHA-2, un algoritmo tan compatible como el otro, y los administradores de los sitios web simplemente deben actualizar los certificados de seguridad. Los certificados le indican a los navegadores web que el sitio web es real (siempre importante, pero más cuando se visita los sitios de entidades financieras, correos electrónicos y redes sociales) y cifra la conexión entre los usuarios y el sitio web.

Pero en los navegadores como Firefox esto no es suficiente, pues aunque cualquier certificado sirve para cifrar la conexión, el navegador verifica si este ha sido emitido por una autoridad de certificación (CA). Las CA normalmente cobran para emitir a los dueños de sitios web este archivo, y los navegadores han sido programados para confiar en ciertas CA e intermediarias, las cuales van desde entidades comerciales a agencias gubernamentales.

Los navegadores como Iceweasel, que están basados en Firefox, heredarán las mismas pautas de seguridad.

Desde 2005 se sabe que SHA-1 es un algoritmo vulnerable, y esto se demostró con el malware Flame, presuntamente creado por los Estados Unidos y el Reino Unido para atacar el programa nuclear de Irán en 2012. Y aunque Flame es un software sofisticado, no es muy difícil vulnerar al algoritmo SHA-1, y un atacante podría crear un certificado SHA-2 falso a partir de un certificado SHA-1, lo que reduce enormemente la seguridad de los usuarios. En concreto, la única manera de prevenirlo es retirando de nuestros navegadores la compatibilidad con SHA-1, y en algunos navegadores ya se está tomando medidas: Firefox e Internet Explorer dejarán de confiar en certificados SHA-1 después de 2016, y Google Chrome y Opera emitirán alertas acerca de la inseguridad de SHA-1 cuando se visiten sitios con estos certificados.

Para comprobar si un sitio web utiliza SHA-2, los administradores y los usuarios pueden visitar SHAAAAAAAAAAAAA.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: Fabio Lanari, Internet2, CC BY-SA 4.0
Imagen: Mantenedores de paquetes relacionados con Mozilla, Iceweasel, MPL 1.1

Fuente: «Why Google is Hurrying the Web to Kill SHA-1».

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s