Actualización sobre nuestra ruta crítica para la obsolescencia de SHA-1

Por el Equipo de Microsoft Edge

En noviembre, compartimos una Actualización de la obsolescencia de SHA-1 con algunos detalles iniciales en nuestro calendario para el bloqueo de certificados TLS firmados de SHA-1. Hoy nos gustaría compartir algunos detalles más sobre su implementación.

A partir de la Actualización de aniversario de Windows 10, Microsoft Edge e Internet Explorer ya no considerarán sitios Web protegidos con un certificado SHA-1 como seguros y eliminará el ícono de bloqueo de la barra de direcciones para estos sitios. Estos sitios seguirán funcionando, pero no se considerarán seguros. Este cambio se hará en las próximas versiones de la Vista previa de Windows Vista pronto, y se implementará ampliamente este verano. En febrero de 2017, tanto Microsoft Edge como Internet Explorer bloquearán los certificados TLS firmados de SHA-1.

Esta actualización se entregará a Microsoft Edge en Windows 10 e Internet Explorer 11 en Windows 7, Windows 8.1 y Windows 10, teniendo impacto únicamente en certificados encadenados a una CA en el programa de Certificación raíz confiable de Microsoft. Tanto Microsoft Edge como Internet Explorer 11 proporcionarán detalles adicionales en la consola de Herramientas del desarrollador F12 para ayudar a los administradores y desarrolladores del sitio.

En TechNet se puede encontrar información adicional sobre los planes generales de Microsoft para la obsolescencia de SHA-1.

Bloqueo de prueba de los certificados TLS de SHA-1

Usted puede habilitar el registro usado en certificados SHA1 escribiendo los siguientes comandos en una indicación de comando del administrador del sistema. El siguiente comando no bloquea el uso de certificados TLS de SHA1; sin embargo, se registrará el certificado en el directorio proporcionado.

En primer lugar, cree un directorio de registro y otorgue acceso universal:

set LogDir=C:\Log

mkdir %LogDir%

icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)

icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)

icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)

icacls %LogDir% /setintegritylevel L

 

Habilite el registro del certificado

Certutil -setreg chain\WeakSignatureLogDir %LogDir%

Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008

Utilice el siguiente comando para quitar la configuración después de haber completado su prueba.

Certutil -delreg chain\WeakSha1ThirdPartyFlags

Certutil -delreg chain\WeakSignatureLogDir

Aquí se puede encontrar información adicional sobre estos comandos y otras protecciones contra un cifrado débil: Cómo protegerse contra algoritmos criptográficos débiles.

– Alec Oot, Gerente Senior de Programa – Mike Stephens, Gerente Senior de Programa

 

Original: https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/