El futuro de los Certificados SSL y cómo prepararse para él

Hace poco, PayPal ha enviado mensajes de correo electrónico a muchos de sus usuarios informándoles de que se realizarán actualizaciones de SSL en sus servidores y que los certificados SHA-1 se actualizarán a SHA-256. Algunas personas no tienen claro lo que deben hacer cuando reciben estos mensajes de correo electrónico, ya que el correo electrónico que PayPal envió anteriormente, y la entrada del blog contienen información muy técnica. Por lo tanto, nos gustaría explicar a nuestros clientes cómo los usuarios finales se verán afectados por los cambios que PayPal va a hacer, y lo que deben que hacer.

¿Qué es el SHA-1/SHA-256?

SHA-1 es un algoritmo hash criptográfico que se utiliza para firmar los certificados SSL. Se suponía que iba a generar una huella única para que nadie pudiera diseñar un certificado que cualquier navegador web pudiese encontrar indistinguible de la cédula real. En otras palabras, el algoritmo SHA-1 debe garantizar que todos los SSLs son únicos y han sido emitidos por una autoridad de certificación de confianza.

Desafortunadamente, el algoritmo SHA-1 es muy antiguo y durante los últimos 10 años muchos trabajos de investigación han demostrado que es posible descifrarlo. En 2012, Jesse Walker estimó el coste de falsificar un certificado SHA-1. De acuerdo con su investigación, hecha hace 3 años, costaría sólo $ 173.000 falsificar un certificado SHA-1 en 2018. Sabemos que para los pequeños sitios personales se trata de una gran cantidad de dinero, pero los ordenadores son cada vez más y más rápidos, y estamos seguros de que dentro de unos años, falsificar los certificados SHA-1 costará unos céntimos. Por lo tanto, hay que acabar con los certificados SHA-1. El asunto principal es que no hay una manera fácil de reemplazar automáticamente todos los certificados SSL de Internet y, además, actualizar todos los sistemas para proteger los nuevos algoritmos hash criptográficos para que los usuarios finales puedan tomar acciones.

La muestra más clara de que SHA-1 será pronto historia, es que todos los principales navegadores web desconfiarán de los certificados SHA-1 SSL después de 2016. Google anunció hace unas semanas que el navegador Chrome mostraría advertencias a todos los usuarios de forma inmediata al abrir un sitio con el SSL SHA-1 habilitado. Animamos a todos los navegadores a hacer lo mismo e informar a sus usuarios de que las páginas web con SHA-1 no están bien protegidas. Ésta es la única manera de tener todos los certificados SSL actualizados más pronto que tarde, y evitar ataques de seguridad que podrían afectar a muchos usuarios.

¿Qué hizo SiteGround para proteger a sus usuarios?

También creemos que el SHA-1 debe quedarse obsoleto lo antes posible. Por eso es por lo que hemos estado preparando su eliminación durante los últimos 2 años. Actualmente, todos los certificados SSL de SiteGround utilizan SHA-256. Todas las renovaciones SSL también se han mejorado y los certificados anticuados serán reemplazados con SHA-256. Además, hemos actualizado el OpenSSL en nuestros servidores y ya es compatible con SHA-256.

Cuando PayPal anunció que iban a actualizar sus certificados SSL, probamos las plataformas de comercio electrónico más populares para asegurarnos de que los usuarios de nuestro servidor no experimentasen problemas. Estamos contentos de anunciar que nuestra plataforma de hosting trabajará con integraciones de PayPal después de las mejoras de SSL programadas por PayPal a finales de septiembre 2015.

Si no tienes tu hosting en los servidores SiteGround y te preguntas qué hacer, puedes seguir los siguientes pasos para asegurarte de que estás preparado para el fin del SHA-1:

• Prueba tu SSL en https://shaaaaaaaaaaaaa.com/ Si ves un error, contacta con tu proveedor de SSL y pídele que vuelva a emitir el SSL.

• Comprueba el servidor y asegúrate de que tu OpenSSL es al menos la versión 0.9.8o. Para comprobar la versión de OpenSSL puedes utilizar un script PHP phpinfo. Si tienes un hosting en un servidor compartido no tendrás acceso a actualizar el OpenSSL. Ponte en contacto con los administradores del sistema y pídeles que comprueben el OpenSSL y que lo actualicen por ti.

Estamos contentos de que muchas empresas hayan decidido despreciar el SHA-1 y también hayan tomado medidas para hacerlo como nosotros. Una limpieza de SHA-1 como ésta debería haber empezado hace años, pero por desgracia el sistema de distribución SSL que utiliza Internet ahora no es perfecto. Y hasta que podamos mejorarlo tenemos que proteger a nuestros usuarios y hacer cualquier cosa a nuestro alcance para evitar problemas de seguridad.