Últimas notícias

Fique informado

SSL / TLS : SHA1 e RC4, o fim de uma era

14 de agosto de 2015

Na medida que os algoritmos criptográficos envelhecem, é hora de oferecer-lhes a devida aposentadoria que acontece porque os computadores se tornam mais rápidos e novas falhas são encontradas, e a sua utilidade chega ao fim.

Sérgio Leal | Criptógrafo, Pesquisador e Colunista do Crypto ID

Agora é a vez de deixarmos de lado os certificados emitidos com assinatura baseada em SHA1 e as conexões SSL /TLS usando o RC4.

SHA-1

O SHA1, lançado em pela NSA em 1995 como uma atualização do SHA original. O algoritmos está quebrado, ou seja, é considerado inseguro desde 2005.

O Google já anunciou que o Chrome 42 marcará os certificados assinados usando SHA-1 como inseguros.

O CAB/Forum em 2011 já orientava às ACs que passassem a usar o SHA2 assim que possível.

RC4

O RC4 foi criado originalmente pela RSA e sempre muito usado devido a sua velocidade, e por não ser afetados por ataques direcionados aos algoritmos de bloco. Muitos problemas de segurança sempre afetaram a reputação do RC4, e com as ultimas descobertas ele foi oficialmente proibido na RFC 7465.

E a compatibilidade?

Mesmo que pareça fácil, esses processo de migração para uma tecnologia mais nova podem esbarrar em problemas de compatibilidade com o legado.

SSL SHA1

 

Nessa página você encontra uma lista das ferramentas que suportam o SHA2, e caso você utilize alguma que não está lIstada é hora de pensar em um upgrade (urgente!).

As estatísticas na Internet

Nesse site encontramos algumas estatísticas sobre uma amostra do uso de certificados SSL / TLS na Internet. Entre muitos numeros interessantes o que nos chama a atenção:

  • 64% tem cifras com RC4 habilitadas
  • 56% tem certificados assinados usando SHA1
  • 21,3% são considerados seguros (possuem uma configuração correta do SSL/TLS)
  • 86,1% estão vulneráveis ao ataque “BEAST” (conhecido desde 2011)
  • 46,6% não suportam forward secrecy (veja meu artigo sobre o assunto)
E você?

Já analisou a qualidade do SSL / TLS do seu site? Existem várias ferramentas que podem ajudar você com isso, mas sugiro começar por uma simples e gratuita. 

  Teste aqui

Não deixe para amanhã!

* Sérgio Leal 

  • Ativista de longa data no meio da criptografia e certificação digital.
  • Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
  • Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil
  • Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
  • Bacharel em Ciências da Computação pela UERJ desde 1997.
  • Certificações:
    – Project Management Professional (desde 2007)
    – TOGAF 9.1 Certified
    – Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)
  • Sérgio Leal  é colunista e membro do conselho editorial do CryptoID.

Outros artigos do autor

TAGS

SSL / TLS