Transición a SHA-256

Transición a SHA-256

HA-2 es una familia de algoritmos hash criptográficos desarrollados por el NIST (Instituto Nacional de Normalización y Tecnología de los Estados Unidos) que sustituyó a los antiguos algoritmos hash SHA-1, con posibles vulnerabilidades matemáticas.

Como su socio de seguridad, GlobalSign respalda la interrupción del uso de SHA-1 y la transición hasta SHA-256, los algoritmos hash SHA-2 más frecuentemente utilizados. Colaboraremos estrechamente con todos los clientes para garantizar que esta transición se realiza sin complicaciones. El primer paso del proceso es el lanzamiento de los certificados SSL SHA-256 de GlobalSign el 31 de marzo de 2014.

Este artículo define los hitos más importantes de la introducción de los certificados SSL SHA-256 y la interrupción del uso de los certificados SSL SHA-1.

1 de Enero de 2016 Microsoft dejará de confiar en los certificados de firma de código que utilicen SHA-1
1 de Enero de 2017 Microsoft dejará de confiar en los certificados SSL que utilicen SHA-1
Julio de 2015 Microsoft revisará las fechas anteriores y posiblemente las adelante, si lo estima conveniente

Si bien el Foro de Navegadores y Autoridades de Certificación aún no ha especificado el uso de SHA-256 en sus Requisitos básicos, Microsoft está dirigiendo al sector hacia la fecha de enero de 2017, cuando dejará de confiar en todos los certificados SHA-1 emitidos a partir de una raíz pública. GlobalSign está realizando un seguimiento del asunto en el seno de las Autoridades de Certificación y los Navegadores, y en distintos foros de seguridad y mantendrá informados a sus clientes acerca de posibles cambios en las fechas destacadas y de los avances verosímiles de violación de certificados SHA-1.


Se informa a los clientes de GlobalSign de las siguientes fechas destacadas:

Marzo de 2014 GlobalSign habilita y recomienda el uso de SHA-256 durante el proceso de solicitud SSL
Marzo de 2014 Los clientes de GlobalSign pueden reemitir sus certificados SHA-1 existentes con SHA-256 sin coste alguno en cualquier momento del periodo de validez del certificado.
Marzo de 2014 En las solicitudes de nuevos certificados que opten por algoritmos SHA-1, el periodo de validez de los certificados resultantes se limitará a tres años. GlobalSign supervisará los riesgos de SHA-1 y el final de la compatibilidad con Microsoft y otros proveedores, y podrá reducir los periodos de validez en los próximos años.
Enero de 2016 GlobalSign deshabilitará todas las opciones de solicitud a través de SHA-1 (con sujeción a posibles cambios realizados en las directrices actualizadas de Microsoft).

Problemas de compatibilidad detectados:

En la actualidad, la mayoría de aplicaciones, servidores y navegadores son compatibles con SHA-256. Sin embargo, algunos sistemas operativos más antiguos, como las versiones de Windows XP anteriores al Service Pack 3, y algunos dispositivos móviles no lo son. Antes de que Microsoft deje de utilizar formalmente el algoritmo SHA-1, es importante garantizar que su organización y todos aquellos que dependen de su infraestructura se benefician de los algoritmos SHA-256 instalando la última versión de la aplicación o el navegador y aceptando todas las actualizaciones de seguridad conocidas para su sistema operativo.
Para obtener más información, por favor consulte nuestro Resumen de Compatibilidad con SHA-2

Más información:

Consejo de Seguridad de Autoridades de Certificación:

https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/

Compatibilidad de SHA-256 con Windows:

http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx

Requisitos del Programa de Integración de Raíz de Microsoft:

http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx