Google busca acelerar el final de soporte para SHA-1, autoridades certificadoras nerviosas

ssl lock

Certificados SSL

 

 

Google recientemente anunció que terminaría el soporte para SHA-1 en los certificados SSL/TLS en Google Chrome, a lo que las autoridades certificadoras se están oponiendo.

Google hizo el anuncio el pasado 20 de Agosto en la lista de correos relativa a seguridad, es una decisión que ya se sabía que llegaria meses atrás.

SHA-1 es un algoritmo de hash un componente critico en la criptografía de seguridad, un algoritmo hash toma un bloque de datos y devuelve una cadena de un tamaño fijo, en SHA-1 los hashes son de 160 bits de longitud. Esta cadena es llamada hash o digest, con un buen algoritmo dos bloques diferentes siempre van a devolver un hash diferente, incluso el mínimo cambio producirá un hash completamente diferente. No debería de haber forma de saber algo del bloque de datos a partir del hash.

Con el tiempo  los estándares de seguridad se vuelven mas inseguros, esto por dos razones, la primera es que hay investigadores que se dedican a romper estos estándares de seguridad, buscando vulnerabilidades para después corregirlas, el predecesor de SHA-1 (MD5) estuvo vigente hasta que romper el algoritmo se volvió algo barato en términos de computo.

No hay ataques prácticos al SHA-1 aún, pero es cosa de unos cuantos años que esto suceda, esto quiere decir que tenemos tiempo aun para movernos a un solución práctica. SHA-2 es un algoritmo que permite tener hashes de diferentes tamaños, incluso está SHA-3 pero aún está muy joven y no tiene implementaciones comerciales aún.

El movimiento por depreciar SHA-1 fue iniciado por Microsoft en Noviembre de 2013, indicando que removerían el soporte para SHA-1 a partir del primero de enero de 2016 en sus certificados raiz (root certs) y que terminaría en 2017 con los certificados SSL.

Las autoridades certificadoras han mostrado apoyo a Microsoft, pero Google parece querer acelerar el proceso.

https-error-145x105

  • Todos los certificados SHA-1 firmados después del primero de enero de 2017 no serán válidos, aunque los usuarios no tendrán que pasar por la página de alerta de seguridad en Chrome como lo hacen con los certificados no válidos actuales.
  • El bloqueador de contenidos será entrenado para poder tratar con este contenido, indicando que es contenido mixto, evitando que el usuario tenga que interactuar con el bloqueador de contenido.

Google ha aclarado que esto no es una promesa, mas bien es una iniciativa y que están buscando que los usuarios se involucren enviando sus comentarios, de ser implementados estos cambios se verían en Chrome 39 y continuarían hasta Chrome 41