CSIRT Panamá Aviso 2015-05- Obsolescencia del Algoritmo de Hash SHA-1

CSIRT Panamá Aviso 2015-05- Obsolescencia del Algoritmo de Hash SHA-1
Gravedad: ALTA
Fecha de publicación: Mayo, 2015
Fecha de modificación: Mayo, 2015
Última revisión: Revisión A.

I. Sistemas Afectados
Todos los sistemas cuyos certificados SSL fueron firmados con el algoritmo SHA-1

II. Descripción

¿Qué es SHA-1?
SHA-1 (Secure Hash Algorithm), es una función hash de cifrado diseñado por el Instituto Nacional de Estándares y Tecnologías (NIST). Este algoritmo es utilizado como parte del rol de verificación de identidad que realizan los certificados SSL.
¿Qué relación tiene SHA-1 con la firma de certificados SSL?
Cuando un certificado es descargado desde un servidor al navegador web de un cliente, se calcula el hash. El hash calculado por el web browser es comparado por el valor del hash proporcionado por el servidor, el cual ya ha sido verificado por una Autoridad Certificadora (AC) al momento de su emisión. Si ambos coinciden, la identidad del sitio web es válida.

Vulnerabilidad en SHA-1
Existe un problema, la utilización de SHA-1 para la firma de certificados SSL la misma es considerada obsoleta desde el 2011; cuando una agrupación llamada “CA/Browser Forum” publicó una línea base de requerimientos de seguridad para SSL. Estos requerimientos recomendaban que todas las AC dejaran de utilizar SHA-1 lo más pronto posible. Esto se debe a que algoritmo SHA-1 es vulnerable a colisiones. Las colisiones se producen cuando dos archivos distintos producen el mismo valor de hash. Esto permitiría a alguien mal intencionado forjar un certificado y hacer que un web browser verifique la identidad de un servidor. Esta situación pone en peligro un proceso muy importante en el modelo de confianza de las AC, la verificación de identidad. Por esta razón todos los emisores de certificados y las casas fabricantes de los navegadores web más importantes se han puesto de acuerdo para migrar hacia SHA-2 en un tiempo ya definido por las partes.

Fechas Importantes

  • Noviembre 2014 Los certificados SSL firmados con SHA-1 que expiren en 2017 mostraran una advertencia en Google Chrome.

sha-1_nov2014

  • Diciembre 2014 Los certificados SSL firmados con SHA-1 que expiren después de 1 de junio de 2016 mostraran una advertencia en Google Chrome con un triángulo amarillo en la URL.

sha-1_dec2014

  • Enero 2015 Los certificados SSL firmados con SHA-1 que expiren en 2016 mostraran una advertencia como la que se aprecia a continuación.

sha-1_enero2015

  • Enero 2016 Se dejaran de emitir certificados SSL firmados con SHA-1. Microsoft dejará de confiar en los certificados de Firma de Código sin marca de tiempo (timestamp).

sha-1_enero2016

  • Enero 2017 Microsoft y Mozilla dejarán de confiar en los certificados SSL firmados con SHA-1.

sha-1_enero2017

III. Detección
Si su sitio web utiliza https, usted tiene distintas opciones para verificar el algoritmo de firma utilizado en su certificado SSL.

Opciones en línea:

  • https://shachecker.com/
  • https://www.ssllabs.com/ssltest/analyze.html
  • https://shaaaaaaaaaaaaa.com/

Para verificar si su navegador de internet es compatible con el algoritmo SHA-2 puede entrar a la siguiente URL:
https://ssltest39.ssl.symclab.com/

Opciones locales:
SSLScan – Kali Linux
Script de nmap ssl-cert  https://nmap.org/nsedoc/scripts/ssl-cert.html

IV. Recomendaciones

  • Inventariar los certificados utilizados en las redes de su organización.
  • Asegurarse que sus aplicaciones soportan SHA-2. Recomendamos verificar la compatibilidad de: sistemas operativos, navegadores de internet, librerías, servidores web, por ejemplo.
  • Contacte un proveedor de certificados SSL que sea capaz de proporcionar certificados firmados en SHA-2, de esta forma usted podrá emitir nuevamente su certificado. Asegurarse que los certificados de la cadena de confianza también utilicen certificados firmados con SHA-2 para evitar problemas en el futuro.
  • Si su certificado expira en 2017, solicite un nuevo certificado antes de Noviembre 2014.
  • Si su certificado expira en 2016, solicite un nuevo certificado antes de Enero 2015.
  • Si su certificado expiro en 2014, solicite un nuevo certificado inmediatamente.

V. Información Adicional

  • http://www.entrust.com/lp/sha-1-sha-2-migration/
  • https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know
    http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html
  • https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1
    https://shachecker.com/
  • https://www.thesslstore.com/sha/sha-2-google-next-steps.aspx
  • https://technet.microsoft.com/en-us/library/security/2880823.aspx

VI. Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124