Microsoft abandonará la encriptación SHA-1 tras la actualización de verano de Windows 10
IE11 y Edge dejarán de mostrar el icono del candado este verano. Igualmente el bloqueo a los sitios web tiene como fecha límite el 14 de febrero de 2017
Microsoft ya ha fijado el calendario que utilizará para acabar con el soporte a los sitios web que utilizan certificados SHA-1 para controlar la seguridad de su tráfico, como parte de un plan para eliminar de Internet los sistemas de encriptación débil.
Con la actualización Windows 10 Anniversary –prevista para algún momento de este verano- tanto Internet Explorer como Edge dejarán de mostrar el icono del candado para los sitios que responden a un certificado SHA-1. Este icono señala que los bits que van y vienen entre el navegador y el sitio web están encriptados, y por lo tanto no son vulnerables al espionaje.
Pero Microsoft y otros fabricantes de navegadores –incluyendo a Google y Mozilla- han declarado que los certificados SHA-1 son inseguros ya que su encriptación no es suficientemente sólida. Originalmente, todos los fabricantes de navegadores se pusieron de acuerdo en dejar de utilizar certificados SHA-1 para el 1 de enero de 2017, pero una nueva investigación propone considerar como fecha límite el 1 de julio de 2016.
Los investigadores de seguridad han demostrado que los cibercriminales pueden crear certificados SHA-1 falsos, que luego utilizan para hacer creer a los usuarios que un sitio web falsificado es un negocio real.
Internet Explorer y Edge no bloquearán los sitios señalados con un certificado SHA-1 hasta el 14 de febrero de 2017. Entre la eliminación del icono del candado de este verano y el año que viene, los usuarios podrán seguir navegando por estos sitios web aunque estén marcados como inseguros.
Los primeros cambios para Edge e Internet Explorer 11 en Windows 10 aparecerán con la actualización Anniversary del sistema operativo, y simultáneamente en actualizaciones separadas para Internet Explorer 11 en Windows 7 y Windows 8.1. Microsoft no ha comunicado si habrá actualizaciones para Internet Explorer 9, el único navegador de la compañía compatible con Windows Vista. Esta omisión podría deberse a la inminente jubilación de Vista en abril de 2017.
Google y Mozilla también se han comprometido a dejar de dar soporte a SHA-1 para el 1 de enero de 2017, aunque ambos han comunicado que pretenden acelerar el proceso para el 1 de julio de 2016. Microsoft ha comunicado que tendrá lista pronto su vista previa de la actualización de Windows 10 con el cambio del icono del candado. La compañía de Redmond ha publicado en su blog información técnica sobre sus planes de finalización de soporte para los certificados firmados con SHA-1.
