Deprecación – Aplicación del certificado SHA1 de Windows

Plan de Microsof para SHA-1

  • Resumen
  • Detalles de aplicación
  • Hoy
    • Planes hasta febrero de 2017
    • Planes después de febrero de 2017
  • Preguntas frecuentes
    • ¿Lo que ocurre con los certificados auto firmados para TLS?
    • ¿Qué sucede con los certificados TLS de Cross-Chain¿
  • Cómo puedo determinar si mi entorno será afectado por la deprecación de TLS en febrero de 2017?

SHA-1 es un hash criptográfico del legado que muchos en la comunidad creen que ya no es seguro. Usar el algoritmo de hash SHA-1 en certificados digitales podrían permitir a un atacante suplantar el contenido, ejecutar ataques de phishing o realizar ataques man-in-the-middle. Microsoft, en colaboración con otros miembros de la industria, están trabajando para la eliminación gradual de SHA-1 y para advertir a los consumidores de los posibles riesgos cuando se encuentran en sitios con SHA-1.

En el año 2015, anunciamos planes para cambiar la forma en que dispositivos y aplicaciones de Windows trata los certificados de SHA-1. Después de extensas consultas con los miembros de la industria, estamos ajustando nuestro plan para alinear mejor el riesgo con la experiencia, que queremos que nuestros clientes tengan.

Estos cambios serán llevados a cabo en varias etapas y a los certificados en cadena (chain certificates) que son de confianza como parte del programa de
Microsoft Trusted Root Program.

El plan tiene tres fases. Las fases 1 y 2 se centran alrededor de la configuración de navegador. La primera fase es lo que estamos haciendo hoy con el Edge de Microsoft y el Internet Explorer 11. Fase que dos es lo que hacemos en los navegadores empezando en febrero de 2017. Fase tres es nuestro plan más allá de febrero de 2017.

Resumen

  Hoy En 14 de febrero de 2017
TLS Server-Authentication Certificates No hay icono de bloqueo aparece Edge Microsoft y Internet Explorer 11 Certificado no válido
Code Signing Certificates No afectados No afectados
Timestamping Certificates No afectados No afectados
S/MIME Certificates No afectados No afectados
OCSP and CRL Signing Certificates No afectados No afectados
OCSP Signatures No afectados No afectados
OCSP Responses No afectados No afectados
CRL Signatures No afectados No afectados
Code Signature File Hashes No afectados No afectados
Timestamp Signature Hashes No afectados No afectados

Detalles de aplicación

Hoy

La primera fase de nuestro plan es indicar a los usuarios que buscan en sitios web protegido por TLS que SHA-1 es menos seguro que el SHA-2. Hoy en día, cuando clientes utilizan Microsoft Edge o Internet Explorer 11 para navegar a un sitio TLS que utiliza un certificado de entidad final de SHA-1, los clientes se darán cuenta de que el navegador no muestra un icono de candado.

Plan de febrero de 2017

En 14 de febrero de 2017, Microsoft lanzará una actualización para Microsoft Edge y Internet Explorer 11 que mostrará una página de advertencia de certificado no válido alertando a los usuarios que la conexión no es segura. Aunque no recomendamos esto, los clientes tienen la opción de continuar navegando en el sitio.

 

 
Febrero de 2017 la experiencia del usuario navegando por un sitio protegido con un
Certificado de SHA-1

Planes para después de febrero de 2017

Después de febrero de 2017, tenemos la intención de hacer más para advertir a los consumidores sobre el riesgo de descargar software firmado con un certificado de SHA-1. Nuestro objetivo es desarrollar una experiencia común, a nivel de sistema operativo que pueden utilizar todas las aplicaciones para advertir a los usuarios sobre el débil cifrado como SHA-1.

Preguntas frecuentes

¿Lo que ocurre con los certificados auto firmados para TLS?

En febrero, 2017, no habrá ningún impacto a las raíces que no están incluidos en el programa
Microsoft Trusted Root Program, como por ejemplos Enterprise de raíces auto firmadas en que han decidido confiar.

¿Qué sucede con los certificados TLS de Cross-Chain?

Un certificado de cross-chain firmado con
Microsoft Trusted Root a su propia raíz no se verán afectados en febrero de 2017.

¿Cómo puedo determinar si mi entorno será afectado por la deprecación de TLS en febrero de 2017?

Usted puede activar el registro usando los certificados del SHA-1 para un directorio escribiendo los siguientes comandos en un símbolo del sistema en el administrador.

En primer lugar, crear un directorio del registro y a otorgar acceso universal:

set LogDir=C:\Log

mkdir %LogDir%

icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)

icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)

icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)

icacls %LogDir% /setintegritylevel L

Habilite el registro de certificado

Certutil -setreg chain\WeakSignatureLogDir %LogDir%

Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008

Original: http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-sha1-certificates.aspx

Texto original en

Aplicación de Windows de SHA1 Certificados


Original

Hoje