SSL: De Sha-1 a SHA-2: ¿Está su sitio en riesgo? · PDF fileArmando...
Transcript of SSL: De Sha-1 a SHA-2: ¿Está su sitio en riesgo? · PDF fileArmando...
Armando Carratalá
Basado en “Sha1 Deprecation” de Rashmi Tabada Symantec Senior Base Product Manager
SSL: De Sha-1 a SHA-2: ¿Está su sitio en riesgo?
1
Agenda
SHA
-1: M
igra
ció
n
1 2 Accione
s re
com
en
dad
as
3 FAQ e In
form
ació
n
4 Q&A 2
Migración de SHA-1 a SHA-2
Panorama General
Armando Carratalá
CTO CertiSur
3
¿Por qué “dejar” SHA-1?
• Riesgo de ataque por colisión*
– (no hay una brecha de seguridad conocida hasta el momento)
• Recomendación NIST : migrar hacia SHA-256 (SHA-2)
*Source: http://csrc.nist.gov/groups/ST/hash/statement.html
4
Respuestas del mercado*…
5
Fuente: https://technet.microsoft.com/en-us/library/security/2880823.aspx http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html, https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/
2016
Plan de SHA-1: “Deprecation” por parte de los navegadores
6
2014
Nov-2014
Chrome 39 muestra una interfaz de usuario degradada, Chrome 40 & 41 agrega otros indicadores de degradación en sitios con certificados con SSL SHA-1
Principios de 2015
Firefox motrará alertas de seguridad y “Untrusted Connection” para Certificados SSL y CodeSigning con SHA-1 que expiren a partir de 2017
2015
Ene-2017
Windows bloqueará sitios con certificados SHA-1 SSL
Firefox mostrará error “Untrusted Connection” para certificados SSL y Code Signing con SHA-1
Chrome mostrará una interfaz de usuario degradada para sitio SSL con SHA-1
2017
Ene-2016
Windows no aceptará certificados de Code Signing con SHA-1 si la firma no incluye timestamp
Nota: Windows y Mozilla impactan sobre conexiones SSL y Code Signing Google impacta sobre conexiones SSL solamente
Plan de discontinuidad de SHA-1: Indicadores y Fechas
Browser Version
Algunas fechas de Ejemplo
RECOMMENDED: SHA-2
SHA-1 (thru Dec 31
2015)
SHA-1 (Jan 1 – May 31 2016)
SHA-1 (Jun 1 – Dec 31 2016)
SHA-1 (Jan 1 2017 and later)
Chrome 39 (SSL)
~Nov 2014
Chrome 40 (SSL)
~Jan 2015
Chrome 41 (SSL)
~Feb 2015
Firefox (SSL, CS)
Early 2015
Security warning in Web Console
Firefox (SSL, CS)
After Jan 1 2016
“Untrusted Connection”
“Untrusted Connection”
“Untrusted Connection”
Microsoft (CS)
Jan 1 2016
SHA-1 Code Signing certs blocked
SHA-1 Code Signing certs blocked
SHA-1 Code Signing certs blocked
Microsoft (SSL)
Jan 1 2017
SHA-1 SSL certs blocked
Interfaz de usuario Sin degradación
Seguro, pero con alertas de error
Inseguro
Alerta notoria de sitio inseguro
7
Acciones recomendadas
8
Acciones a tomar
• Identificar los certificados afectados
• Migrar los certificados SSL y Code Signing afectados hacia un algoritmo SHA-2
• Limitar la emisión de certificados con SHA-1
• Aprovechar el reemplazo gratuito provisto por CertiSur
9
Identificar los certificados afectados
¿Qué certificados están afectados?: – Certificados Finales con SHA-1 expirando después del 1-Ene-2017
– Certificados Finales con SHA-1 expirando después del 31-Dic-2015 (Chrome)
– Certificados Finales con SHA-1 o SHA-2 encadenados a certificados con certificados intermedios con SHA-1 expirando después del 1-Ene-2017
– Certificados Raíz SHA-1 no están siendo afectados
– Certificados Code Signing con SHA-1 a partir del 1-Ene-2016
Herramientas: – Consolas de administración (en el caso de MPKI para SSL) para ver los
certificados emitidos.
– Utilizar SSL ToolBox (www.certisur.com/ssl-verificar)
– Considerar el empleo de herramientas automatizadas de análisis y administración de Certificados
10
Reemplazar los Certificados Afectados
• Instalar certificados intermedios con SHA-2
• Reemplazar todos los certificados con SHA-1 que expiran después del 31-Dic-2015 por certificados con SHA-2, a través de la página de administración del certificado
• Asegurarse que todos los certificados tengan una cadena con certificados intermedios SHA-2
• Utilizar SSL Toolbox (www.certisur.com/ssl-verificar) para comprobar cada instalación
11
2016 2014 2015 2017
Acciones a tomar
12
Nov-2014 Acción: Identificar
y reemplazar los certificados
afectados
Ene-2016 Acción: Identificar y reemplazar todos los certificados afectados de Code-Signing
Principio de 2015
Firefox motrará alertas de seguridad y “Untrusted Connection” para SSL y CodeSigning c/ SHA-1 que expiren a partir de 2017
Enero 2017
Windows bloqueará sitios con certs SHA-1 SSL
Firefox mostrará error “Untrusted Connection” para certs SSL y Code Signing con SHA-1 SSL
Chrome mostrará una UI degradada para sitio SSL c/ SHA-1
Enero de 2016
Windows no aceptará Code Signing c/ SHA-1 si la firma no incluye timestamp
2014-2015 Acción: Limitar la emisión de Certificados con SHA-1
Nov-2014
Chrome 39 muestra una UI degradada, Chrome 40 & 41 agrega otros indicadores de degradación en sitios con certificados con SSL SHA-1 certs
2016 2014 2015 2017
¿Cómo lo Ayudamos?
13
Nov-2014 Acción: Identificar y
reemplazar los certificados
afectados
Ene-2016 Acción: Identificar y reemplazar todos los certificados afectados de Code-Signing
Principio de 2015
Firefox motrará alertas de seguridad y “Untrusted Connection” para SSL y CodeSigning c/ SHA-1 que expiren a partir de 2017
Enero 2017
Windows bloqueará sitios con certs SHA-1 SSL
Firefox mostrará error “Untrusted Connection” para certs SSL y Code Signing con SHA-1 SSL
Chrome mostrará una UI degradada para sitio SSL c/ SHA-1
Enero de 2016
Windows no aceptará Code Signing c/ SHA-1 si la firma no incluye timestamp
2014-2015 Acción: Limitar la emisión de Certs c/ SHA-1
Nov-2014
Chrome 39 muestra una UI degradada, Chrome 40 & 41 agrega otros indicadores de degradación en sitios con certificados conSSL SHA-1 certs
Ahora Reemplazo
de certificados de manera
gratuita y validez
concurrente
Dic-2014 SHA-2 será el algoritmo default para los nuevos certificados
Dic-2016 SHA-1 dejará de ser utilizado definitivamente
FAQ y Recursos
14
Algunas respuestas a preguntas frecuentes • Q: Ya he realizado el reemplazo a SHA-2 de los certificados finales y he instalado los certificados intermedios
con SHA-2, ¿Necesito hacer algo más? • A: No, no es necesario realizar ninguna acción adicional .
• Q: Ya he reemplazado el certificado final por SHA-2, ¿Necesito hacer algo más? • A: Verifique que su certificado SHA-2 está correctamente encadenado con certificados intermedios SHA-2.
• Q: ¿Hay una manera sencilla de verificar si mis certificados están afectados? • A: Si. Utilice SSL Tools accediendo en https://www.certisur.com/ssl-verificar
• Q: ¿Los certificados raíz SHA-1 están afectados? • A: No
• Q: ¿Cómo reemplazo mi certificado SHA-1? • A: A través de la consola de administración propia (en el caso de MPKI for SSL) o en
https://www.certisur.com/ssl-administrar.
• Q: ¿Los certificados de Code-Signing están afectados? • A: Los certificados de Code Sgning están siendo afectados , fundamentalmente debido a los planes de
Microsoft y Firefox (no Chrome).
• Q: ¿Qué otros sistemas se pueden ver afectados por este cambio? • A: Analizar los Legacy Systems que hagan uso de librerías criptográficas antiguas.
15
Más preguntas (y respuestas)…
• Q: ¿Cómo se verán los cambios en los navegadores de Google? • A: Google ha publicado en el blog de Chromium (http://blog.chromium.org/2014/09/gradually-sunsetting-
sha-1.html) una descripción con las imágnes de los cambios. Estos son los nuevos íconos:
16
Interfaz del usuario sin degradación
Seguro, pero con alertas de error
Inseguro
Alerta notoria de sitio inseguro
2016 2014 2015 2017
Y Más preguntas (y Respuestas)…
• Q: ¿Cómo puedo alinear mi plan de adecuación con la estrategia planeada por Google? • A: Estas son la fechas críticas:
17
Nov-2014 Chrome 39 muestra una interfaz
de usuario degradada para certificados SHA-1 que expiran
después del 1-Ene-2017
Ene-2015 Chrome 40 muestra una interfaz de usuario degradada para certificados SHA-1 expirando el 1-Jun-2016 o posteriormente
Feb-2016 Chrome 41 muestra una interfaz de usuario degradada para certificados SHA-1 expirando el 1-Ene-2016 o posteriormente
Acción: Reemplazar certificados SHA-1 que expiran después del 1-Jun-2016
Acción: Reemplazar certificados SHA-1 que expiran después de 1-Ene-2016
Acción: Reemplazar certificados SHA-1 que expiran después de esa fecha
Información adicional
• How to Manage the SHA-1 Deprecation in SSL Encryption http://www.symantec.com/connect/ru/blogs/how-manage-sha-1-deprecation-ssl-encryption
• Symantec SHA-1 information page http://www.symantec.com/page.jsp?id=sha2-transition
• Symantec Community Forum: Website Security Solutions http://www.symantec.com/connect/security/forums/website-security-solutions
• Symantec SHA-2 browser compatibility https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=SO25586
• Guidelines for Replacing SHA-1 certificates with SHA-2 on Managed PKI for SSL https://knowledge.verisign.com/support/mpki-for-ssl-support/index?page=content&id=SO26404
• Guidelines for replacing SHA-1 with SHA-2 certificate on Symantec Trust Center https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=SO26402
18
Preguntas y Respuestas adicionales
19
Gracias!
Copyright © 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Consultas:
20