¿Por qué hay que cambiar los certificados SSL?

Sin comentarios

Certificados SSL

Los certificados SSL son aquellos que aseguran las conexiones seguras HTTPS usadas en la gran mayoría de tiendas virtuales o en casi cualquier página donde debas acceder con un usuario y contraseña, son un sistema que permite cifran las comunicaciones entre los usuarios y los servidores basados en diferentes algoritmos criptográficos. Debido a la transcendencia de la información que protegen en sus inicios se decidió controlar quién podía emitir estos certificados en función de una cadena de confianza donde cada entidad certificadora asegura conocer y certificar al siguiente escalón.

Veamos por ejemplo el certificado que protege el acceso la zona de estudiantes de la Universidad Nacional de Estudios a Distancia (UNED).
En el certificado podemos ver que el dominio sso.uned.es utiliza un certificado SSL válido que está firmado por la entidad certificadora TERENA SSL CA 2, que a su vez está certificada por USERTrust. Así la validez del certificado que protege las comunicaciones de los estudiantes de la UNED viene avalada por esta cadena de entidades certificadoras.

¿Cómo se certifica la validez de esta cadena?

Cada entidad de certificación debe validar el certificado emitiendo una firma válida que va incluida dentro del propio certificado. Esta operación se realiza mediante un algoritmo de hash que produce a partir de una información genera una salida única y exclusiva, de tamaño fijo, para dicha información. Así podemos asegurar que el certificado utilizado por la UNED lo ha firmado TERENA SSL CA 2 y nadie más. Si confiamos en esta entidad de certificación entonces podemos utilizar el certificado con seguridad.

Estos algoritmos de hash han ido evolucionando y mejorando con el tiempo por lo que las organizaciones que gestionan la seguridad en Internet han decidido que los certificados deben abandonar el algoritmo de firma SHA-1 (desarrollado en 1995) para utilizar SHA-2 (que nació en 2001). Se trata de una medida preventiva ya que aún no se conoce ningún ataque realista a SHA-1 que permita suplantar la identidad digital.

En nuestro ejemplo  podemos ver que el certificado de la UNED ya utiliza SHA-2 (en su versión SHA256).

Ymant | comunicación¿Por qué hay que cambiar los certificados SSL?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *