4010323 de aviso de seguridad de Microsoft
Desuso de SHA-1 para certificados SSL/TLS en Microsoft Edge e Internet Explorer 11
Publicado: 9 de mayo de 2017
Versión: 1.0
Resumen ejecutivo
A partir del 9 de mayo de 2017, Microsoft publicó actualizaciones de Microsoft Edge e Internet Explorer 11 para bloquear sitios protegidos con un certificado SHA-1 de cargar y mostrar una advertencia de certificado no válida. Este cambio solo afectará a los certificados SHA-1 que se encadenan a una raíz en el Programa raíz de confianza de Microsoft, donde el certificado de entidad final o el intermedio emisor usa SHA-1. Los certificados SHA-1 de empresa o autofirmados no se verán afectados, aunque se recomienda que todos los clientes migren rápidamente a certificados basados en SHA-2. Para obtener más información, consulta Aplicación de Windows de certificados SHA1.
Para obtener más información, consulte el artículo 4010323 de Microsoft Knowledge Base.
Detalles de asesoramiento
Referencias a problemas
Para obtener más información sobre este problema, consulte las referencias siguientes:
| Referencias | Referencias |
|---|---|
| Información general | Aplicación de Windows de certificados SHA1 |
| \ | Cuenta atrás de desuso de SHA-1 |
| Requisitos técnicos | Protección contra algoritmos criptográficos débiles |
Software afectado
Este aviso se aplica a los siguientes sistemas operativos:
| Windows 7 |
|---|
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas basados en x64 Service Pack 1 |
| Windows Server 2008 R2 |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 |
| Windows 8.1 |
| Windows 8.1 para sistemas de 32 bits |
| Windows 8.1 para sistemas basados en x64 |
| Windows Server 2012 R2 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 para sistemas de 32 bits |
| Windows 10 para sistemas basados en x64 |
| Windows 10 versión 1511 para sistemas de 32 bits |
| Windows 10 versión 1511 para sistemas basados en x64 |
| Windows 10 versión 1607 para sistemas de 32 bits |
| Windows 10 versión 1607 para sistemas basados en x64 |
| Windows Server 2016 |
| Windows Server 2016 para sistemas basados en x64 |
| Opción de instalación Server Core |
| Windows Server 2008 R2 para sistemas basados en x64 (instalación Server Core) |
| Windows Server 2012 R2 (instalación de Server Core) |
| Windows Server 2016 para sistemas basados en x64 (instalación server Core) |
Preguntas más frecuentes sobre asesoramiento
¿Cuál es el ámbito del aviso?
Este aviso tiene como objetivo ayudar a los clientes a evaluar el riesgo de determinadas aplicaciones que usan certificados digitales X.509 firmados mediante el algoritmo hash SHA-1 y recomendar que los administradores y entidades de certificación usen SHA-2 en lugar de SHA-1 como algoritmo para firmar certificados digitales.
¿Se trata de una vulnerabilidad de seguridad que requiere que Microsoft emita una actualización de seguridad?
No. Microsoft recomienda que todos los clientes migren a SHA-2 y que el uso de SHA-1 como algoritmo hash con fines de firma no se recomienda y ya no es un procedimiento recomendado. Aunque esto no es una vulnerabilidad en un producto de Microsoft, Microsoft emite este aviso para ayudar a aclarar el riesgo real implicado para los clientes.
¿Qué causa esta amenaza?
La causa principal del problema es una debilidad conocida del algoritmo hash SHA-1 que lo expone a ataques de colisión. Estos ataques podrían permitir que un atacante genere certificados adicionales que tengan la misma firma digital que un original. No se recomienda el uso de certificados SHA-1 para fines específicos que requieren resistencia contra estos ataques. En Microsoft, el ciclo de vida de desarrollo de seguridad ha requerido a Microsoft que ya no use el algoritmo hash SHA-1 como valor predeterminado en el software de Microsoft. Para obtener más información sobre la debilidad de colisión SHA-1, vea SHAttered: La primera colisión para sha-1 completo.
¿Qué es un certificado digital?
En la criptografía de clave pública, una de las claves, conocida como clave privada, debe mantenerse secreta. La otra clave, conocida como clave pública, está pensada para compartirse con el mundo. Sin embargo, debe haber una manera de que el propietario de la clave indique al mundo al que pertenece la clave. Los certificados digitales proporcionan una manera de hacerlo. Un certificado digital es una credencial electrónica que se usa para certificar las identidades en línea de personas, organizaciones y equipos. Los certificados digitales contienen una clave pública empaquetada junto con información sobre ella, quién la posee, para qué se puede usar, cuándo expira, etc. Para obtener más información, consulte Descripción de los certificados digitales.
¿Cuál es el propósito de un certificado digital?
Los certificados digitales se usan principalmente para comprobar la identidad de una persona o dispositivo, autenticar un servicio o cifrar archivos. Normalmente, no es necesario pensar en los certificados, aparte del mensaje ocasional que indica que un certificado ha expirado o no es válido. En tales casos, debe seguir las instrucciones proporcionadas en el mensaje.
¿Qué es una entidad de certificación (CA)?
Las entidades de certificación son las organizaciones que emiten certificados. Establecen y comprueban la autenticidad de las claves públicas que pertenecen a personas u otras entidades de certificación, y comprueban la identidad de una persona u organización que solicita un certificado.
Acciones sugeridas
Revisión de los cambios en la directiva del programa raíz de confianza de Microsoft
Los clientes interesados en obtener más información sobre el tema tratado en este aviso deben revisar el cumplimiento de Windows de certificados SHA1.Actualización de SHA-1 a SHA-2
Las entidades de certificación han sido prohibidas para emitir nuevos certificados SHA-1 desde enero de 2016. Los clientes deben asegurarse de que sus entidades de certificación usen el algoritmo hash SHA-2 para obtener certificados SHA-2 de sus entidades de certificación. Para firmar código con certificados SHA-2, consulte las instrucciones de este tema en Cumplimiento de certificados SHA1 de Windows.Impacto de la acción: las soluciones antiguas basadas en hardware pueden requerir la actualización para admitir estas tecnologías más recientes.
Mantener Windows actualizado
Todos los usuarios de Windows deben aplicar las últimas actualizaciones de seguridad de Microsoft para asegurarse de que sus equipos estén lo más protegidos posible. Si no está seguro de si el software está actualizado, visite Windows Update, examine el equipo para ver las actualizaciones disponibles e instale las actualizaciones de alta prioridad que se le ofrecen. Si tiene habilitada la Novedades automática, las actualizaciones se le entregan cuando se publican, pero tiene que asegurarse de instalarlas.
Otra información
Comentarios
- Puede proporcionar comentarios completando el formulario de Ayuda y soporte técnico de Microsoft, Servicio al cliente Póngase en contacto con nosotros.
Soporte técnico
- Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional.
- Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.
Declinación de responsabilidades
La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (9 de mayo de 2017): Aviso publicado.
Página generada 2017-05-08 17:41-07:00.