Últimas notícias

Fique informado
Substituindo certificados com Algoritmo SHA-1 por SHA-2

Substituindo certificados com Algoritmo SHA-1 por SHA-2

13 de setembro de 2014

A Microsoft e o Google anunciaram seus planos para a desativação de certificados digitais SSL que utilizam o algoritmo SHA-1

Essa iniciativa gera mais segurança aos usuários da rede, visa reduzir o suporte aos chamados em função dos certificados SSL, acompanha a determinação dos líderes das indústrias de Autoridades Certificadoras e  Browser – Certification Authority / Browser (CA / B) Fórum e é o que recomenda o NIST (National Institute of Standards and Technology)

Após 31 de dezembro de 2015 os sites protegidos com certificados SHA-1 deixam de ter a proteção do SSL, pois os navegadores do Google não reconhecerão esses certificados como válidos.

Mas atenção: a partir de novembro de 2014, os navegadores Chrome versão 39 passarão a sinalizar alertas aos seus usuários:

SEGURO – com pequenos erros (imagem com triângulo amarelo)

SEM SEGURANÇA – (ícone de página em branco)

INSEGURO – (fechamento com um X vermelho)

Essas imagens serão exibidas aos usuários que acessarem os sites com certificados SSL SHA-1 com validade para além de 1 de janeiro de 2016 com navegadores Chrome 39.

A versão de produção do Chrome 39 está prevista para ser lançada em novembro de 2014.

No auge das compras de Black Friday e Natal.

Já a Microsoft informou que o Windows vai deixar de aceitar certificados SSL SHA-1 em 1 de janeiro de 2017.

Os planos de descontinuação do algoritmo SHA-1 também impactam os certificados digitais das Autoridades Certificadoras que terão que utilizar certificados intermediários SHA-2 para não quebrarem a cadeia de confiança que vai da AC Raiz aos usuários finais passando por seus navegadores.

Como a tecnologia evolui, é fundamental estar à frente daqueles que desejam derrotar tecnologias de criptografia em seu benefício malicioso.

A Symantec saiu na frente e está ajudando a tornar a Internet mais segura, permitindo de forma proativa, promover e elevar fortes padrões de criptografia dentro de SSL / TLS e certificados de assinatura de código.

Como parte desse esforço, a Symantec já está operando  e emitindo certificados digitais SHA-2 que estão disponíveis para a substituição sem custo adicional para seus clientes.

A iniciativa de migrar de SHA-1 para SHA-256 (SHA-2) sem custo é a contribuição da Symantec e de suas revendas espalhadas no mundo todo que aderirem ao programa de remissão gratuita para elevar o nível de segurança em sites seguros, comunicações de intranet e aplicativos.

Os certificados SHA-1 ainda podem ser emitidos, mas eles não devem exceder a validade além 31 de dezembro de 2015.

Recomendamos fortemente aos clientes que  façam rapidamente um inventário de seus certificados SSL para efetuar a migração dos certificados com algoritmos SHA-1.

Aqui estão alguns recursos para ajudar com a sua migração que a Symantec divulgou nos USA:

Teste para SHA-2 compatibilidade em aplicações exclusivas

– Identificar os certificados que têm um algoritmo SHA-1 utilizando o Toolbox SSL

Saiba como gerar um novo certificado de assinatura Request (CSR)

– Obter instruções de instalação para certificados SSL

– Saiba como: instalar facilmente uma CSR em Microsoft IIS 6.0 ou 7.0 ou Red Hat usando servidores Assistente SSL

O que acontecerá com os sites que possuem certificados SSL  SHA-1?
Resposta: Os usuários que utilizarem o navegador Chrome 39 a partir de novembro de 2014 receberão alertas que o site não é totalmente seguro. A partir de 1 de janeiro de 2017, os navegadores Chrome e Microsoft não fecharão mais a conexão SSL com os certificados com algoritmo SHA-1.

O que devem fazer os administradores dos sites
Resposta: Faça um inventário de seus certificados e planeje a migração dos certificados SSL SHA-1 antes de novembro de 2014.

Existe um custo para substituir um certificado afetada
Resposta: A Symantec substituirá os certificados sem custo adicional.

O Algoritmo SHA-1 ainda é seguro? Por que os clientes precisam migrar?

Resposta: Esses procedimentos fazem parte de um movimento mundial orquestrado pelas organizações líderes da indústria vinculados ao Certification Authority / Browser (CA / B) Fórum e estão proativamente buscando formas de ajudar os clientes a proteger seus ambientes e infra-estrutura. O Algoritmo SHA-1 tem sido um padrão da indústria amplamente aceito, no entanto, o algoritmo SHA-2 contém uma série de melhorias para reforçar a segurança. Além disso, o Instituto Nacional de Padrões (NIST) recomendou seu uso em vez de SHA-1.

A migração do algoritmo SHA-1 se aplica aos certificados de assinatura de código
Resposta: Sim. Embora os certificados de assinatura de código não serão afetados pelos navegadores do Google, eles serão afetados pelos planos da Microsoft.

Quando os clientes devem migrar?

Resposta: Os clientes devem substituir os certificados que expiram depois de 31 dezembro de 2015, imediatamente ou até Novembro de 2014.

 

Todos os servidores suportam o certificado de SHA-2?

Resposta: Não. Cheque agora a documentação do seu servidor para garantir que ele suporta um certificado de SHA-2. Por isso, é importante não deixar tudo para cima da hora, pois se você tiver que providenciar novos servidores isso não ocorrerá da noite para o dia.

 

O que fazer se ainda tenho dúvidas?

Resposta: Deixe sua dúvida em comentários

 

Leia também

Google está preparando uma extensão do Chrome para criptografar e-mails

CATEGORIAS

Destaques TLS e SSL

TAGS

SHA-1 SHA-2 SSL