Substituição dos certificados SHA-1 pelo SHA-2

A Microsoft e o Google anunciaram planos de reprovação do SHA-1 que podem afetar os sites com certificados SHA-1 que expiram após 31 de dezembro de 2015.

De acordo com o Blog do Google, “Gradually Sunsetting SHA-1” (Descontinuação gradual do SHA-1), a versão 39 e posterior do Chrome exibirão indicadores de segurança visuais nos sites com certificados SSL SHA-1 que tenham validade posterior à 1 de janeiro de 2016. O lançamento da versão funcional do Chrome 39 está prevista para novembro de 2014.

Os sites receberão um dos seguintes indicadores: “seguro, mas com pequenos erros” (cadeado com triângulo amarelo), “neutro, segurança insuficiente” (ícone da página em branco) e “confirmado como inseguro” (cadeado com um “x” vermelho). Para impedir que os usuários online do Chrome versão 39 e posterior visualizem esses indicadores, os certificados SSL SHA-1 que expirarem após 31 de dezembro de 2015 deverão ser substituídos pelos certificados SHA-256 (SHA-2).

O plano de reprovação do SHA-1 pela Microsoft varia em tempo de ativação e comportamento do navegador. Em relação à “Reprovação do algoritmo de hash SHA-1 para o Microsoft Root Certificate Program”, a consultoria de segurança da Microsoft informou que o Windows passará a não aceitar os certificados SSL SHA-1 a partir de janeiro de 2017. Para continuar a trabalhar com as plataformas da Microsoft, todos os certificados SSL SHA-1, emitidos antes ou depois desse anúncio, deverão ser substituídos por um equivalente a SHA-2 até 1º de janeiro de 2017.

Os planos de reprovação do SHA-1 afetam também os certificados intermediários SHA-1; os certificados de entidade final SHA-2 devem ser vinculados aos certificados intermediários SHA-2 para evitar o comportamento hostil dos navegadores, descrito acima. Os certificados-raiz do SHA-1 não são afetados.

À medida que as tecnologias evoluem, é essencial se manter à frente daqueles que tentam derrubar as tecnologias de criptografia, em prol de seus benefícios maliciosos. A Symantec está ajudando a tornar a Internet mais segura ativando, promovendo e elevando os padrões criptográficos fortes de forma proativa nos certificados de assinatura de código e SSL/TLS. Como parte dessa iniciativa, a Symantec disponibilizou certificados SHA-2 substitutos aos seus clientes, sem nenhum custo adicional.

A iniciativa de migrar do SHA-1 para o SHA-256 (SHA-2) é a próxima fase proativa para melhor proteger sites, comunicações via intranet e aplicativos. As empresas deverão desenvolver um plano de migração para todos os certificados de assinatura de código e SSL SHA-1 que expirarem após 31 de dezembro de 2015.

Alguns recursos para ajudar com a migração:

  • Teste a compatibilidade com o SHA-2 em aplicativos exclusivos;
  • Identifique os certificados que tenham um algoritmo SHA-1 usando o SSL Toolbox;
  • Saiba como gerar uma nova solicitação de assinatura de certificado (CSR);
  • Obtenha as instruções de instalação para os certificados SSL;