Microsoft ha anunciado recientemente sus planes de abandonar el soporte para los certificados TLS firmados por el algoritmo de hashing SHA -1 a partir de febrero de 2017. Microsoft reconoció además que numerosos sitios web, usuarios y aplicaciones de terceros se verán gravemente afectados una vez que la empresa deplore los certificados firmados SHA-1.
A partir del 14 de febrero de 2017 , Microsoft Edge e Internet Explorer 11 impedirán que se carguen los sitios protegidos con un certificado SHA-1 y mostrarán una advertencia de certificado no válido . Aunque lo desaconsejamos fuertemente, los usuarios tendrán la opción de ignorar el error y continuar hacia el sitio web, dijo Microsoft en es blog post .
La revelación no es exactamente una noticia: la empresa lo insinuó en noviembre.
El algoritmo de hash SHA-1, utilizado para la seguridad en Internet junto con el protocolo HTTPS y los certificados utilizados para proteger los sitios web, ha sido declarado inseguro y vulnerable a los ataques de adversarios bien financiados desde 2005, pero fue utilizado en gran medida antes hasta que llegaron los algoritmos SHA-2 y SHA-3, que fueron probados como alternativas más seguras para las funcionalidades de hash. La iniciativa no es nueva y la función ha sido previamente denunciada y rechazada por Google y Mozilla por ser más propensa a las colisiones criptográficas de lo estimado.
Microsoft ha detallado que sus navegadores, Edge e Internet Explorer, ahora evitarán que se carguen los sitios que utilicen certificados firmados SHA-1 y mostrarán una advertencia de «certificado no válido» para restaurar la seguridad de los servicios. Aunque los usuarios no se verán obligados a saltarse los sitios, tendrán la opción de eludir la amenaza y acceder al sitio web potencialmente vulnerable a pesar de la advertencia, sólo que sin el icono de confianza «bar lock» que los usuarios ven en la barra de direcciones de sus navegadores.
Las aplicaciones de Windows de terceros que ejecuten el conjunto de API criptográficas de Windows SHA-1 o las versiones anteriores de Internet Explorer no se verán afectadas por estos cambios.