A Microsoft e o Google anunciaram seus planos para a desativação de certificados digitais SSL que utilizam o algoritmo SHA-1
Essa iniciativa gera mais segurança aos usuários da rede, visa reduzir o suporte aos chamados em função dos certificados SSL, acompanha a determinação dos líderes das indústrias de Autoridades Certificadoras e Browser – Certification Authority / Browser (CA / B) Fórum e é o que recomenda o NIST (National Institute of Standards and Technology)
Após 31 de dezembro de 2015 os sites protegidos com certificados SHA-1 deixam de ter a proteção do SSL, pois os navegadores do Google não reconhecerão esses certificados como válidos.
Mas atenção: a partir de novembro de 2014, os navegadores Chrome versão 39 passarão a sinalizar alertas aos seus usuários:
SEGURO – com pequenos erros (imagem com triângulo amarelo)
SEM SEGURANÇA – (ícone de página em branco)
INSEGURO – (fechamento com um X vermelho)
Essas imagens serão exibidas aos usuários que acessarem os sites com certificados SSL SHA-1 com validade para além de 1 de janeiro de 2016 com navegadores Chrome 39.
A versão de produção do Chrome 39 está prevista para ser lançada em novembro de 2014.
No auge das compras de Black Friday e Natal.
Já a Microsoft informou que o Windows vai deixar de aceitar certificados SSL SHA-1 em 1 de janeiro de 2017.
Os planos de descontinuação do algoritmo SHA-1 também impactam os certificados digitais das Autoridades Certificadoras que terão que utilizar certificados intermediários SHA-2 para não quebrarem a cadeia de confiança que vai da AC Raiz aos usuários finais passando por seus navegadores.
Como a tecnologia evolui, é fundamental estar à frente daqueles que desejam derrotar tecnologias de criptografia em seu benefício malicioso.
A Symantec saiu na frente e está ajudando a tornar a Internet mais segura, permitindo de forma proativa, promover e elevar fortes padrões de criptografia dentro de SSL / TLS e certificados de assinatura de código.
Como parte desse esforço, a Symantec já está operando e emitindo certificados digitais SHA-2 que estão disponíveis para a substituição sem custo adicional para seus clientes.
A iniciativa de migrar de SHA-1 para SHA-256 (SHA-2) sem custo é a contribuição da Symantec e de suas revendas espalhadas no mundo todo que aderirem ao programa de remissão gratuita para elevar o nível de segurança em sites seguros, comunicações de intranet e aplicativos.
Os certificados SHA-1 ainda podem ser emitidos, mas eles não devem exceder a validade além 31 de dezembro de 2015.
Recomendamos fortemente aos clientes que façam rapidamente um inventário de seus certificados SSL para efetuar a migração dos certificados com algoritmos SHA-1.
Aqui estão alguns recursos para ajudar com a sua migração que a Symantec divulgou nos USA:
– Teste para SHA-2 compatibilidade em aplicações exclusivas
– Identificar os certificados que têm um algoritmo SHA-1 utilizando o Toolbox SSL
– Saiba como gerar um novo certificado de assinatura Request (CSR)
– Obter instruções de instalação para certificados SSL
– Saiba como: instalar facilmente uma CSR em Microsoft IIS 6.0 ou 7.0 ou Red Hat usando servidores Assistente SSL
O que acontecerá com os sites que possuem certificados SSL SHA-1?
Resposta: Os usuários que utilizarem o navegador Chrome 39 a partir de novembro de 2014 receberão alertas que o site não é totalmente seguro. A partir de 1 de janeiro de 2017, os navegadores Chrome e Microsoft não fecharão mais a conexão SSL com os certificados com algoritmo SHA-1.
O que devem fazer os administradores dos sites
Resposta: Faça um inventário de seus certificados e planeje a migração dos certificados SSL SHA-1 antes de novembro de 2014.
Existe um custo para substituir um certificado afetada
Resposta: A Symantec substituirá os certificados sem custo adicional.
O Algoritmo SHA-1 ainda é seguro? Por que os clientes precisam migrar?
Resposta: Esses procedimentos fazem parte de um movimento mundial orquestrado pelas organizações líderes da indústria vinculados ao Certification Authority / Browser (CA / B) Fórum e estão proativamente buscando formas de ajudar os clientes a proteger seus ambientes e infra-estrutura. O Algoritmo SHA-1 tem sido um padrão da indústria amplamente aceito, no entanto, o algoritmo SHA-2 contém uma série de melhorias para reforçar a segurança. Além disso, o Instituto Nacional de Padrões (NIST) recomendou seu uso em vez de SHA-1.
A migração do algoritmo SHA-1 se aplica aos certificados de assinatura de código
Resposta: Sim. Embora os certificados de assinatura de código não serão afetados pelos navegadores do Google, eles serão afetados pelos planos da Microsoft.
Quando os clientes devem migrar?
Resposta: Os clientes devem substituir os certificados que expiram depois de 31 dezembro de 2015, imediatamente ou até Novembro de 2014.
Todos os servidores suportam o certificado de SHA-2?
Resposta: Não. Cheque agora a documentação do seu servidor para garantir que ele suporta um certificado de SHA-2. Por isso, é importante não deixar tudo para cima da hora, pois se você tiver que providenciar novos servidores isso não ocorrerá da noite para o dia.
O que fazer se ainda tenho dúvidas?
Resposta: Deixe sua dúvida em comentários
Leia também
- Google dá mais relevância aos sites que usam criptografia
- Brasil é o segundo país mais afetado por sites de phishing HTTPS
- List of Operating Systems, Browsers, and Servers Which Support SHA-256 Hashes in SSL Certificates
- ALERTA PARA OS CIOS DE GRANDES ORGANIZAÇÕES – SSL/…
Google está preparando uma extensão do Chrome para criptografar e-mails