Blog / SHA-1 está muerto y tu página web podría estar en peligro

SHA-1 está muerto y tu página web podría estar en peligro

by SW Team

Más de 1 millón de páginas aún utilizan el algoritmo vulnerable SHA-1 en sus certificados SSL

A continuación te explicamos todo lo que debes saber para asegurar que tu página web y/o tu negocio sigan siendo seguros ante esta conocida, pero grave, vulnerabilidad.

¿Qué significa que SHA-1 sea vulnerable?

SHA-1 es un algoritmo utilizado para firmar digitalmente los certificados SSL necesarios para establecer una conexión segura entre una página web y sus visitantes. Generalmente se puede comprobar el uso de estos certificados cuando la dirección de una página web empieza por "https" o cuando en la barra de URL del navegador aparece un icono en forma de candado. 

La vulnerabilidad en este algoritmo permite que un atacante haga pasar un certificado falso como válido y, por lo tanto, suplantar con fines maliciosos la identidad de una página web. Por ejemplo: un cliente de tu página web podría entregar valiosos datos personales a un atacante pensando que en realidad está interactuando contigo de forma segura.

En esta imagen podemos ver el mensaje que se muestra en muchos navegadores ante un certificado inválido. Gracias a la vulnerabilidad en SHA-1 un atacante podría utilizar un certificado falso sin que se mostrara este aviso al navegante.

¿Cómo puedo asegurar la seguridad de mi página web?

En un principio los desarrolladores de los principales navegadores web establecieron como plazo máximo el día 1 de enero de 2017 para empezar a bloquear certificados con SHA-1. Sin embargo, recientemente empresas de seguridad han empezado a recomendar el cambio a un certificado más seguro con algoritmo SHA-2 lo antes posible al considerar que la vulnerabilidad es más grave de lo previsto.

1. Verifica si tu página web dispone de un certificado vulnerable.

Si eres el administrador de la página, únicamente debes verificar cuál es el algoritmo de hash utilizado en el certificado. En caso de tratarse de SHA-1, tu página web es vulnerable.

Si no eres el administrador de la página web, puedes utilizar esta utilidad online para comprobar de forma sencilla si tu página web es o no vulnerable. En caso de serlo, deberás actualizar el certificado por uno con algoritmo de hash SHA-2.

2. Actualiza a un certificado con un algoritmo hash SHA-2

La mayoría de empresas de certificación realizarán el cambio de tu certificado de SHA-1 a SHA-2 sin coste alguno. Para realizar el cambio debes contactar directamente con la empresa emisora del certificado y seguir los procedimientos que esta haya establecido.

Una vez dispongas del nuevo certificado, tan sólo te quedará instalarlo y revocar el anterior. Recuerda que si eres cliente de SW Hosting, puedes solicitar nuestro servicio de "Intervención técnica" abriendo un ticket de ingeniería de sistemas para que nuestro equipo se encargue de la instalación del nuevo certificado.

Conclusiones

Hoy en día la mayoría de certificados ya utilizan un algoritmo de hash más seguro (SHA-2). Sin embargo, aún existe una gran cantidad de webs (más del 30%) que no ha realizado el cambio y que se encuentra en situación de vulnerabilidad.

[fusion_builder_container hundred_percent="yes" overflow="visible"][fusion_builder_row][fusion_builder_column type="1_1" background_position="left top" background_color="" border_size="" border_color="" border_style="solid" spacing="yes" background_image="" background_repeat="no-repeat" padding="" margin_top="0px" margin_bottom="0px" class="" id="" animation_type="" animation_speed="0.3" animation_direction="left" hide_on_mobile="no" center_content="no" min_height="none"][caption id="attachment_5076" align="aligncenter" width="550"]SHA-1 migration A día de hoy la mayoría de certificados ya hace uso de SHA-2.[/caption]

Si tu web comercial aún no dispone de un certificado seguro, nuestra recomendación es que realices el cambio lo antes posible. Aún no existe un comunicado oficial, pero es muy posible que los distintos desarrolladores de navegadores empiecen a bloquear certificados con SHA-1 antes de lo previsto y con ello impactar negativamente el acceso a tu página web o negocio.

¿Buscas un servicio que administre 24x7 la seguridad de tu servidor?

Descubre nuestro servicio "Cloud Administrado" que te proporciona tu propio servidor Cloud administrado y mantenido las 24 horas del día por un equipo de ingeniería. Nos encargamos de diseñar la configuración, ofrecerte asesoramiento y, por supuesto, toda la administración, incluyendo la seguridad de tu servidor.

Cloud Administrado

[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]

i