¿Por qué hay que migrar a los certificados TLS/SSL SHA-2?
DigiCert, su socio de seguridad, establece SHA-256 por defecto en todos los certificados TLS/SSL que emite, y recomienda encarecidamente que todos los clientes actualicen sus certificados SHA-1 a SHA-2. Esto se debe a que SHA-1 no se considera seguro al menos desde 2006. De hecho, el Instituto Nacional de Normas y Tecnología (NIST) de EE. UU. desaconsejó el uso de SHA-1 en 2011 y desautorizó su uso para firmas digitales en 2013. Los criptoanalistas han instado a los administradores a sustituir sus certificados SHA-1, ya que los riesgos de SHA-1 son mayores de lo previsto.
¿Cómo encuentro rápidamente los certificados SHA-1 y cómo los sustituyo?
Con la herramienta Discovery basada en la nube de DigiCert CertCentral®, podrá encontrar rápidamente los certificados TLS/SSL SHA-1 y reemplazarlos por certificados gratuitos SHA-2 de DigiCert. La herramienta Discovery puede buscar certificados incluso en las redes distribuidas más complejas. También ofrecemos diversas opciones de análisis para encontrar y supervisar todos los certificados, sean privados o públicos, sin importar la autoridad de certificación (CA) que los haya emitido.
TLS/SSH (Secure Shell Keys) Discovery cuenta con dos componentes que le ayudan a analizar a fondo las redes en busca de certificados TLS y claves SSH:
- Análisis en la nube: una opción rápida y sencilla para buscar certificados TLS en servidores públicos. Esta opción no requiere instalación y puede iniciarse instantáneamente desde la interfaz de usuario de CertCentral.
- Los análisis de red descubren todos los certificados TLS públicos y privados en redes distribuidas complejas. Analice a fondo su entorno para elaborar informes y tener una visibilidad completa de todos los certificados TLS y claves SSH.
¿Cuándo debo pasarme a SHA-2?
Google, Mozilla y Microsoft ya han eliminado gradualmente la confianza en los certificados SSL SHA-1. En el pasado, Chrome también mostraba advertencias de SHA-1 para los sitios que utilizaban certificados SHA-1. Los administradores que aún no hayan sustituido sus certificados SHA-1 por certificados SHA-2 deberían empezar a hacer el cambio ahora.
En agosto de 2014, Google adoptó una postura aún más agresiva al afirmar que Chrome mostraría advertencias a partir de noviembre de 2014 para los sitios protegidos con certificados SHA-1 debido a que SHA-1 no era suficientemente seguro. La intención de Google es ayudar a eliminar gradualmente los certificados SHA-1 lo antes posible y hacer que la transición sea más suave que la de MD5.
En octubre de 2015, un equipo internacional de criptoanalistas publicó una investigación en la que instaba a los administradores a sustituir antes sus certificados SHA-1, ya que los riesgos de SHA-1 eran mayores de lo previsto. Los resultados publicados son teóricos y aún no se han demostrado en la práctica. Aunque no parece que exista un peligro inmediato, recomendamos encarecidamente a los administradores que migren a SHA-2 lo antes posible.
Los administradores deben valorar las consecuencias que podría tener esta actualización y planificar lo siguiente:
- Hardware compatible con SHA-2
- Actualizaciones de software del servidor compatibles con SHA-2
- Software cliente compatible con SHA-2
- Aplicaciones a medida compatibles con SHA-2
Anteriormente, los navegadores y las autoridades de certificación ya recomendaban migrar a SHA-2 antes de 2017, pero las investigaciones actuales deberían animar a las organizaciones a acelerar sus planes de actualización de la infraestructura existente para hacerla compatible con SHA-2. Consulte nuestra página de preguntas frecuentes sobre SHA-2 para obtener más información sobre los plazos de implementación de SHA-2.
