Blog de GlobalSign

04 may 2016

Migre sus certificados de SHA-1 a SHA-256 de forma Segura

El algoritmo hash SHA-1, el cual es conocido por ser débil debido a la sofisticación de los ataques criptográficos está siendo depreciado y remplazado con SHA-2. GlobalSign le recomienda fuertemente a los usuarios migrar a certificados SHA-2 tan pronto como sea posible, GlobalSign ya no ofrece certificados SHA-1. Todos los nuevos certificados que son emitidos por GlobalSign son SHA-256.

GlobalSign está trabajando fuertemente en ayudar a sus consumidores y socios con esta migración, por lo cual hemos creado una guía estratégica con consejos y consideraciones en ayudar en esta transición.

1. Crear un inventario de certificados existentes para identificar certificados SHA-1

Escanee o inventarié los certificados actuales que usan en sus redes y determine cuantos certificados están usando SHA-2. GlobalSign entrega dos opciones para ayudar a identificar sus certificados.

Opción 1: Prueba de servidor SSL de GlobalSign

  • Visite la página https://globalsign.ssllabs.com/ y coloque el dominio.

  • La firma y la fecha de expiración están localizados debajo de la opción de “autenticación”. Si la firma muestra SHA-1, usted deberá reemitir su certificado tan pronto como sea posible.

Find SHA-1 Certificates

Opción 2: Herramienta de Inventario de Certificados (CIT)

  • La herramienta de inventario de certificados de GlobalSign CIT puede ser usada en un portal online para certificados de uso público o como un agente local para inventariar los certificados a lo largo de toda su red (interno y Público), sin importar la AC emisora.

  • Con un informe de certificados pre establecido disponible, los usuarios pueden comenzar a localizar los certificados SHA-1 en tan solo unos cuantos minutos.

2. Dele prioridad al remplazo de los certificados y determine el soporte para SHA-2

Aunque GlobalSign recomienda la migración de todos los certificados SSL SHA- 1 tan pronto como sea posible, entendemos que  un enfoque de prioridad puede ser lo más factible.

Por Fecha de expiración

Enfóquese en remplazar los certificados SHA-1 que expiren en 2017 primero, luego los que re venzan en 2016. La razón de esto es que Google ha degradado la interfaz de usuario en fases comenzando con los certificados que expiran en 2017, y en el futuro degradará la UI por certificados que venzan serán mostrados

De uso público

Céntrese en remplazar los certificados de los sitios web accesibles externamente primero ya que estos sitios web son los que tienen mayores riesgos de perder confianza debido a la forma como Chrome maneja los sitios web usando certificados SHA-1, un ejemplo en la parte de abajo con Chrome 41.

google red cross warning

Visite el  Blog de Google para más información acerca de la política de Google y como ella muestra las alertas en los sitios que usan SHA-1

Adopción de SHA-2

La adopción de SHA-2 esta creciendo rapidamente y los  navegadores, servidores y aplicaciones más usados ya soportan SHA-2; hay algunos que todavia no lo hacen. Usted deberá de verificar si las aplicaciones son compatibles con SHA-2. Si es posible actualice las aplicaciones no compatibles y para aquellos que no pueda actualizar, determine a cuales servidores la aplicación de conecta, y determine el impacto.

Si no es de uso del publico externo, usted puede utilizar SHA-1 hasta que haya tenido tiempo suficiente para actualizar. Hable con GlobalSign acerca de los certificados IntranetSSL los cuales le permiten emitir certificados SHA-1 a servidores internos de una raíz que no sea pública. IntranetSSL

3. Considere la posibilidad de dividir los certificados de multi-dominio

Si usted utiliza multiples SAN's, comunicaciones unificadas, o certificados Wildcard considere dividir los certificados en multiples certificados lo cual le permitira actualizarse a SHA-2 para la mayoría de usos y use (si lo necesita) SHA-1 para soportar las aplicaciones en cuales los servidores necesitan ser conectados.

Lo Invitamos a verificar la Configuración SSL de su sitio web: Verificador SSL

Share this Post

Subscribe to our Blog