Na medida que os algoritmos criptográficos envelhecem, é hora de oferecer-lhes a devida aposentadoria que acontece porque os computadores se tornam mais rápidos e novas falhas são encontradas, e a sua utilidade chega ao fim.
Agora é a vez de deixarmos de lado os certificados emitidos com assinatura baseada em SHA1 e as conexões SSL /TLS usando o RC4.
SHA-1
O SHA1, lançado em pela NSA em 1995 como uma atualização do SHA original. O algoritmos está quebrado, ou seja, é considerado inseguro desde 2005.
O Google já anunciou que o Chrome 42 marcará os certificados assinados usando SHA-1 como inseguros.
O CAB/Forum em 2011 já orientava às ACs que passassem a usar o SHA2 assim que possível.
RC4
O RC4 foi criado originalmente pela RSA e sempre muito usado devido a sua velocidade, e por não ser afetados por ataques direcionados aos algoritmos de bloco. Muitos problemas de segurança sempre afetaram a reputação do RC4, e com as ultimas descobertas ele foi oficialmente proibido na RFC 7465.
E a compatibilidade?
Mesmo que pareça fácil, esses processo de migração para uma tecnologia mais nova podem esbarrar em problemas de compatibilidade com o legado.
Nessa página você encontra uma lista das ferramentas que suportam o SHA2, e caso você utilize alguma que não está lIstada é hora de pensar em um upgrade (urgente!).
As estatísticas na Internet
Nesse site encontramos algumas estatísticas sobre uma amostra do uso de certificados SSL / TLS na Internet. Entre muitos numeros interessantes o que nos chama a atenção:
- 64% tem cifras com RC4 habilitadas
- 56% tem certificados assinados usando SHA1
- 21,3% são considerados seguros (possuem uma configuração correta do SSL/TLS)
- 86,1% estão vulneráveis ao ataque “BEAST” (conhecido desde 2011)
- 46,6% não suportam forward secrecy (veja meu artigo sobre o assunto)
E você?
Já analisou a qualidade do SSL / TLS do seu site? Existem várias ferramentas que podem ajudar você com isso, mas sugiro começar por uma simples e gratuita.
[button link=”https://www.ssllabs.com/ssltest/” icon=”fa-certificate” side=”left” target=”” color=”431275″ textcolor=”f2f2f2″]Teste aqui[/button]
Não deixe para amanhã!
* Sérgio Leal
- Ativista de longa data no meio da criptografia e certificação digital.
- Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.
- Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil
- Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.
- Bacharel em Ciências da Computação pela UERJ desde 1997.
- Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)- Sérgio Leal é colunista e membro do conselho editorial do CryptoID.