SSL / TLS : SHA1 e RC4, o fim de uma era

Na medida que os algoritmos criptográficos envelhecem, é hora de oferecer-lhes a devida aposentadoria que acontece porque os computadores se tornam mais rápidos e novas falhas são encontradas, e a sua utilidade chega ao fim.

Sérgio Leal | Criptógrafo, Pesquisador e Colunista do Crypto ID

Agora é a vez de deixarmos de lado os certificados emitidos com assinatura baseada em SHA1 e as conexões SSL /TLS usando o RC4.

SHA-1

O SHA1, lançado em pela NSA em 1995 como uma atualização do SHA original. O algoritmos está quebrado, ou seja, é considerado inseguro desde 2005.

O Google já anunciou que o Chrome 42 marcará os certificados assinados usando SHA-1 como inseguros.

O CAB/Forum em 2011 já orientava às ACs que passassem a usar o SHA2 assim que possível.

RC4

O RC4 foi criado originalmente pela RSA e sempre muito usado devido a sua velocidade, e por não ser afetados por ataques direcionados aos algoritmos de bloco. Muitos problemas de segurança sempre afetaram a reputação do RC4, e com as ultimas descobertas ele foi oficialmente proibido na RFC 7465.

E a compatibilidade?

Mesmo que pareça fácil, esses processo de migração para uma tecnologia mais nova podem esbarrar em problemas de compatibilidade com o legado.

Nessa página você encontra uma lista das ferramentas que suportam o SHA2, e caso você utilize alguma que não está lIstada é hora de pensar em um upgrade (urgente!).

As estatísticas na Internet

Nesse site encontramos algumas estatísticas sobre uma amostra do uso de certificados SSL / TLS na Internet. Entre muitos numeros interessantes o que nos chama a atenção:

• 64% tem cifras com RC4 habilitadas
• 56% tem certificados assinados usando SHA1
• 21,3% são considerados seguros (possuem uma configuração correta do SSL/TLS)
• 86,1% estão vulneráveis ao ataque “BEAST” (conhecido desde 2011)
• 46,6% não suportam forward secrecy (veja meu artigo sobre o assunto)

E você?

Já analisou a qualidade do SSL / TLS do seu site? Existem várias ferramentas que podem ajudar você com isso, mas sugiro começar por uma simples e gratuita. 

  Teste aqui

Não deixe para amanhã!

* Sérgio Leal 

• Ativista de longa data no meio da criptografia e certificação digital.
• Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
• Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil
• Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
• Bacharel em Ciências da Computação pela UERJ desde 1997.
• Certificações:
  – Project Management Professional (desde 2007)
  – TOGAF 9.1 Certified
  – Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)
• Sérgio Leal  é colunista e membro do conselho editorial do CryptoID.

Outros artigos do autor