Llegamos a ustedes gracias a:



Noticias

Microsoft abandonará la encriptación SHA-1

Tras la actualización de mediados de año de Windows 10

[06/05/2016] Microsoft ha fijado el calendario que utilizará para acabar con el soporte a los sitios web que utilizan certificados SHA-1 para controlar la seguridad de su tráfico, como parte de un plan para eliminar de Internet los sistemas de encriptación débil.

Con la actualización Windows 10 Anniversary -prevista para mediados de año- tanto Internet Explorer como Edge dejarán de mostrar el ícono del candado para los sitios que responden a un certificado SHA-1. Este ícono señala que los bits que van y vienen entre el navegador y el sitio web están encriptados, y por lo tanto no son vulnerables al espionaje.

Pero Microsoft y otros fabricantes de navegadores -incluyendo a Google y Mozilla- han declarado que los certificados SHA-1 son inseguros ya que su encriptación no es suficientemente sólida. Originalmente, todos los fabricantes de navegadores se pusieron de acuerdo en dejar de utilizar certificados SHA-1 para el 1 de enero del 2017, pero una nueva investigación propone considerar como fecha límite el 1 de julio del 2016.

Los investigadores de seguridad han demostrado que los cibercriminales pueden crear certificados SHA-1 falsos, que luego utilizan para hacer creer a los usuarios que un sitio web falsificado es un negocio real.

Internet Explorer y Edge no bloquearán los sitios señalados con un certificado SHA-1 hasta el 14 de febrero del 2017. Entre la eliminación del ícono del candado de mediados de año y el año que viene, los usuarios podrán seguir navegando por estos sitios web, aunque estén marcados como inseguros.

Los primeros cambios para Edge e Internet Explorer 11 en Windows 10 aparecerán con la actualización Anniversary del sistema operativo, y simultáneamente en actualizaciones separadas para Internet Explorer 11 en Windows 7 y Windows 8.1. Microsoft no ha comunicado si habrá actualizaciones para Internet Explorer 9, el único navegador de la compañía compatible con Windows Vista. Esta omisión podría deberse a la inminente jubilación de Vista en abril de 2017.

Google y Mozilla también se han comprometido a dejar de dar soporte a SHA-1 para el 1 de enero del 2017, aunque ambos han comunicado que pretenden acelerar el proceso para el 1 de julio del 2016. Microsoft ha comunicado que tendrá lista pronto su vista previa de la actualización de Windows 10 con el cambio del ícono del candado. La compañía de Redmond ha publicado en su blog información técnica sobre sus planes de finalización de soporte para los certificados firmados con SHA-1.