Armando Carratalá

Basado en “Sha1 Deprecation” de Rashmi Tabada Symantec Senior Base Product Manager

SSL: De Sha-1 a SHA-2: ¿Está su sitio en riesgo?

1

Agenda

SHA

-1: M

igra

ció

n

1 2 Accione

s re

com

en

dad

as

3 FAQ e In

form

ació

n

4 Q&A 2

Migración de SHA-1 a SHA-2

Panorama General

Armando Carratalá

CTO CertiSur

3

¿Por qué “dejar” SHA-1?

• Riesgo de ataque por colisión*

– (no hay una brecha de seguridad conocida hasta el momento)

• Recomendación NIST : migrar hacia SHA-256 (SHA-2)

*Source: http://csrc.nist.gov/groups/ST/hash/statement.html

4

Respuestas del mercado*…

5

Fuente: https://technet.microsoft.com/en-us/library/security/2880823.aspx http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html, https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/

2016

Plan de SHA-1: “Deprecation” por parte de los navegadores

6

2014

Nov-2014

Chrome 39 muestra una interfaz de usuario degradada, Chrome 40 & 41 agrega otros indicadores de degradación en sitios con certificados con SSL SHA-1

Principios de 2015

Firefox motrará alertas de seguridad y “Untrusted Connection” para Certificados SSL y CodeSigning con SHA-1 que expiren a partir de 2017

2015

Ene-2017

Windows bloqueará sitios con certificados SHA-1 SSL

Firefox mostrará error “Untrusted Connection” para certificados SSL y Code Signing con SHA-1

Chrome mostrará una interfaz de usuario degradada para sitio SSL con SHA-1

2017

Ene-2016

Windows no aceptará certificados de Code Signing con SHA-1 si la firma no incluye timestamp

Nota: Windows y Mozilla impactan sobre conexiones SSL y Code Signing Google impacta sobre conexiones SSL solamente

Plan de discontinuidad de SHA-1: Indicadores y Fechas

Browser Version

Algunas fechas de Ejemplo

RECOMMENDED: SHA-2

SHA-1 (thru Dec 31

2015)

SHA-1 (Jan 1 – May 31 2016)

SHA-1 (Jun 1 – Dec 31 2016)

SHA-1 (Jan 1 2017 and later)

Chrome 39 (SSL)

~Nov 2014

Chrome 40 (SSL)

~Jan 2015

Chrome 41 (SSL)

~Feb 2015

Firefox (SSL, CS)

Early 2015

Security warning in Web Console

Firefox (SSL, CS)

After Jan 1 2016

“Untrusted Connection”

“Untrusted Connection”

“Untrusted Connection”

Microsoft (CS)

Jan 1 2016

SHA-1 Code Signing certs blocked

SHA-1 Code Signing certs blocked

SHA-1 Code Signing certs blocked

Microsoft (SSL)

Jan 1 2017

SHA-1 SSL certs blocked

Interfaz de usuario Sin degradación

Seguro, pero con alertas de error

Inseguro

Alerta notoria de sitio inseguro

7

Acciones recomendadas

8

Acciones a tomar

• Identificar los certificados afectados

• Migrar los certificados SSL y Code Signing afectados hacia un algoritmo SHA-2

• Limitar la emisión de certificados con SHA-1

• Aprovechar el reemplazo gratuito provisto por CertiSur

9

Identificar los certificados afectados

¿Qué certificados están afectados?: – Certificados Finales con SHA-1 expirando después del 1-Ene-2017

– Certificados Finales con SHA-1 expirando después del 31-Dic-2015 (Chrome)

– Certificados Finales con SHA-1 o SHA-2 encadenados a certificados con certificados intermedios con SHA-1 expirando después del 1-Ene-2017

– Certificados Raíz SHA-1 no están siendo afectados

– Certificados Code Signing con SHA-1 a partir del 1-Ene-2016

Herramientas: – Consolas de administración (en el caso de MPKI para SSL) para ver los

certificados emitidos.

– Utilizar SSL ToolBox (www.certisur.com/ssl-verificar)

– Considerar el empleo de herramientas automatizadas de análisis y administración de Certificados

10

Reemplazar los Certificados Afectados

• Instalar certificados intermedios con SHA-2

• Reemplazar todos los certificados con SHA-1 que expiran después del 31-Dic-2015 por certificados con SHA-2, a través de la página de administración del certificado

• Asegurarse que todos los certificados tengan una cadena con certificados intermedios SHA-2

• Utilizar SSL Toolbox (www.certisur.com/ssl-verificar) para comprobar cada instalación

11

2016 2014 2015 2017

Acciones a tomar

12

Nov-2014 Acción: Identificar

y reemplazar los certificados

afectados

Ene-2016 Acción: Identificar y reemplazar todos los certificados afectados de Code-Signing

Principio de 2015

Firefox motrará alertas de seguridad y “Untrusted Connection” para SSL y CodeSigning c/ SHA-1 que expiren a partir de 2017

Enero 2017

Windows bloqueará sitios con certs SHA-1 SSL

Firefox mostrará error “Untrusted Connection” para certs SSL y Code Signing con SHA-1 SSL

Chrome mostrará una UI degradada para sitio SSL c/ SHA-1

Enero de 2016

Windows no aceptará Code Signing c/ SHA-1 si la firma no incluye timestamp

2014-2015 Acción: Limitar la emisión de Certificados con SHA-1

Nov-2014

Chrome 39 muestra una UI degradada, Chrome 40 & 41 agrega otros indicadores de degradación en sitios con certificados con SSL SHA-1 certs

2016 2014 2015 2017

¿Cómo lo Ayudamos?

13

Nov-2014 Acción: Identificar y

reemplazar los certificados

afectados

Ene-2016 Acción: Identificar y reemplazar todos los certificados afectados de Code-Signing

Principio de 2015

Firefox motrará alertas de seguridad y “Untrusted Connection” para SSL y CodeSigning c/ SHA-1 que expiren a partir de 2017

Enero 2017

Windows bloqueará sitios con certs SHA-1 SSL

Firefox mostrará error “Untrusted Connection” para certs SSL y Code Signing con SHA-1 SSL

Chrome mostrará una UI degradada para sitio SSL c/ SHA-1

Enero de 2016

Windows no aceptará Code Signing c/ SHA-1 si la firma no incluye timestamp

2014-2015 Acción: Limitar la emisión de Certs c/ SHA-1

Nov-2014

Chrome 39 muestra una UI degradada, Chrome 40 & 41 agrega otros indicadores de degradación en sitios con certificados conSSL SHA-1 certs

Ahora Reemplazo

de certificados de manera

gratuita y validez

concurrente

Dic-2014 SHA-2 será el algoritmo default para los nuevos certificados

Dic-2016 SHA-1 dejará de ser utilizado definitivamente

FAQ y Recursos

14

Algunas respuestas a preguntas frecuentes • Q: Ya he realizado el reemplazo a SHA-2 de los certificados finales y he instalado los certificados intermedios

con SHA-2, ¿Necesito hacer algo más? • A: No, no es necesario realizar ninguna acción adicional .

• Q: Ya he reemplazado el certificado final por SHA-2, ¿Necesito hacer algo más? • A: Verifique que su certificado SHA-2 está correctamente encadenado con certificados intermedios SHA-2.

• Q: ¿Hay una manera sencilla de verificar si mis certificados están afectados? • A: Si. Utilice SSL Tools accediendo en https://www.certisur.com/ssl-verificar

• Q: ¿Los certificados raíz SHA-1 están afectados? • A: No

• Q: ¿Cómo reemplazo mi certificado SHA-1? • A: A través de la consola de administración propia (en el caso de MPKI for SSL) o en

https://www.certisur.com/ssl-administrar.

• Q: ¿Los certificados de Code-Signing están afectados? • A: Los certificados de Code Sgning están siendo afectados , fundamentalmente debido a los planes de

Microsoft y Firefox (no Chrome).

• Q: ¿Qué otros sistemas se pueden ver afectados por este cambio? • A: Analizar los Legacy Systems que hagan uso de librerías criptográficas antiguas.

15

Más preguntas (y respuestas)…

• Q: ¿Cómo se verán los cambios en los navegadores de Google? • A: Google ha publicado en el blog de Chromium (http://blog.chromium.org/2014/09/gradually-sunsetting-

sha-1.html) una descripción con las imágnes de los cambios. Estos son los nuevos íconos:

16

Interfaz del usuario sin degradación

Seguro, pero con alertas de error

Inseguro

Alerta notoria de sitio inseguro

2016 2014 2015 2017

Y Más preguntas (y Respuestas)…

• Q: ¿Cómo puedo alinear mi plan de adecuación con la estrategia planeada por Google? • A: Estas son la fechas críticas:

17

Nov-2014 Chrome 39 muestra una interfaz

de usuario degradada para certificados SHA-1 que expiran

después del 1-Ene-2017

Ene-2015 Chrome 40 muestra una interfaz de usuario degradada para certificados SHA-1 expirando el 1-Jun-2016 o posteriormente

Feb-2016 Chrome 41 muestra una interfaz de usuario degradada para certificados SHA-1 expirando el 1-Ene-2016 o posteriormente

Acción: Reemplazar certificados SHA-1 que expiran después del 1-Jun-2016

Acción: Reemplazar certificados SHA-1 que expiran después de 1-Ene-2016

Acción: Reemplazar certificados SHA-1 que expiran después de esa fecha

Información adicional

• How to Manage the SHA-1 Deprecation in SSL Encryption http://www.symantec.com/connect/ru/blogs/how-manage-sha-1-deprecation-ssl-encryption

• Symantec SHA-1 information page http://www.symantec.com/page.jsp?id=sha2-transition

• Symantec Community Forum: Website Security Solutions http://www.symantec.com/connect/security/forums/website-security-solutions

• Symantec SHA-2 browser compatibility https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=SO25586

• Guidelines for Replacing SHA-1 certificates with SHA-2 on Managed PKI for SSL https://knowledge.verisign.com/support/mpki-for-ssl-support/index?page=content&id=SO26404

• Guidelines for replacing SHA-1 with SHA-2 certificate on Symantec Trust Center https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=SO26402

18

Preguntas y Respuestas adicionales

19

Gracias!

Copyright © 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Consultas:

atencionalcliente@certisur.com

20