Por qué Google se apresura a eliminar el algoritmo de cifrado SHA-1
El blog oficial de Google anunció que reducirá gradualmente las instrucciones de seguridad de los certificados SHA-1 en el navegador Chrome. Pero lo interesante es que Google.com utiliza actualmente un certificado firmado SHA-1, pero el certificado caducará en 3 meses. Google utilizará certificados firmados SHA-2 a partir de 2015. No se han encontrado debilidades graves en el algoritmo SHA-1, pero el coste de falsificar certificados es cada vez más barato.
Descripción general
La mayoría de los sitios web seguros utilizan un algoritmo inseguro y Google acaba de declarar que esto será una emergencia a largo plazo.
Aproximadamente el 90% de los sitios web que utilizan cifrado SSL utilizan el algoritmo SHA-1 para evitar que se suplante su identidad. Cuando visita un sitio web, tiene la garantía de acceder a Facebook genuino en lugar de enviar su contraseña a un atacante. Desafortunadamente, el algoritmo SHA-1 es muy frágil y lo ha sido durante mucho tiempo. La seguridad de este algoritmo disminuye año tras año, pero todavía se utiliza mucho en Internet. Su reemplazo, SHA-2, es lo suficientemente robusto y debería contar con un amplio soporte.
Recientemente, Google afirmó que si utiliza el navegador Chrome, notará que las advertencias del navegador para una gran cantidad de sitios web seguros cambian constantemente.