El algoritmo hash SHA-1, el cual es conocido por ser débil debido a la sofisticación de los ataques criptográficos está siendo depreciado y remplazado con SHA-2. GlobalSign le recomienda fuertemente a los usuarios migrar a certificados SHA-2 tan pronto como sea posible, GlobalSign ya no ofrece certificados SHA-1. Todos los nuevos certificados que son emitidos por GlobalSign son SHA-256.
GlobalSign está trabajando fuertemente en ayudar a sus consumidores y socios con esta migración, por lo cual hemos creado una guía estratégica con consejos y consideraciones en ayudar en esta transición.
1. Crear un inventario de certificados existentes para identificar certificados SHA-1
Escanee o inventarié los certificados actuales que usan en sus redes y determine cuantos certificados están usando SHA-1. GlobalSign entrega dos opciones para ayudar a identificar sus certificados.
Opción 1: Prueba de servidor SSL de GlobalSign
-
Visite la página https://globalsign.ssllabs.com/ y coloque el dominio.
-
La firma y la fecha de expiración están localizados debajo de la opción de “autenticación”. Si la firma muestra SHA-1, usted deberá re-emitir su certificado tan pronto como sea posible.
Opción 2: Herramienta de Inventario de Certificados (CIT)
-
La herramienta de inventario de certificados de GlobalSign CIT puede ser usada en un portal online para certificados de uso público o como un agente local para inventariar los certificados a lo largo de toda su red (interna y Pública), sin importar la AC emisora.
-
Con un informe de certificados pre establecido disponible, los usuarios pueden comenzar a localizar los certificados SHA-1 en tan solo unos cuantos minutos.
2. Dele prioridad al remplazo de los certificados y determine el soporte para SHA-2
Aunque GlobalSign recomienda la migración de todos los certificados SSL SHA- 1 tan pronto como sea posible, entendemos que un enfoque de prioridad puede ser lo más factible.
Por Fecha de expiración
Enfóquese en remplazar los certificados SHA-1 que expiren en 2017 primero, luego los que re venzan en 2016. La razón de esto es que Google ha degradado la interfaz de usuario en fases comenzando con los certificados que expiran en 2017, y en el futuro degradará la UI por certificados que venzan después del 2016.
De uso público
Céntrese en remplazar los certificados de los sitios web accesibles externamente primero, ya que estos sitios web son los que tienen mayores riesgos de perder confianza debido a la forma como Chrome maneja los sitios web usando certificados SHA-1, un ejemplo en la parte de abajo con Chrome 41.
Visite el Blog de Google para más información acerca de la política de Google y como ella muestra las alertas en los sitios que usan SHA-1.
Adopción de SHA-2
La adopción de SHA-2 esta creciendo rapidamente y los navegadores, servidores y aplicaciones más usados ya soportan SHA-2; hay algunos que todavia no lo hacen. Usted deberá de verificar si las aplicaciones son compatibles con SHA-2. Si es posible actualice las aplicaciones no compatibles y para aquellos que no pueda actualizar, determine a cuales servidores la aplicación se conecta, y determine el impacto.
Si no es de uso publico externo, usted puede utilizar SHA-1 hasta que haya tenido tiempo suficiente para actualizarlo. Hable con GlobalSign acerca de los certificados IntranetSSL los cuales le permiten emitir certificados SHA-1 a servidores internos de una raíz que no sea pública. IntranetSSL
3. Considere la posibilidad de dividir los certificados de multi-dominio
Si usted utiliza multiples SAN's, comunicaciones unificadas, o certificados Wildcard considere dividir los certificados en multiples certificados lo cual le permitira actualizarse a SHA-2 para la mayoría de usos y use (si lo necesita) SHA-1 para soportar las aplicaciones en cuales los servidores necesitan ser conectados.
Lo Invitamos a verificar la Configuración SSL de su sitio web: Verificador SSL
