Migración de certificados SHA-1 a SHA-2

Los certificados electrónicos permiten asegurar y acreditar webs, aplicaciones y servicios informáticos. Gracias a ellos, muchas de las transacciones electrónicas que realizamos a diario son seguras . Para la creación de dicho, se emplea una fórmula matemática o hash que determina su huella electrónica. Es por ello, que es muy importante que este código sea robusto y resistente frente a ataques que puedan vulnerarlo y suplantarlo.

Desde 1995 el algoritmo más empleado para la generaciónde certificados era el SHA-1. Dicha firma se consideraba inquebrantable con la tecnología vigente, pero hace un tiempo se comprobó que no era tan inexpugnable . Esto, junto con la bajada de los precios en el cloud computing  (que permite emplear  grandes recursos computacionales para el cálculo de combinaciones) ha agilizado la obsolencia de esta firma; y, empresas como Microsoft y Google, han establecido una serie de plazos para realizar la migración a SHA-2. Así pues,  esta semana me gustaría explicar cómo poder migrar nuestro certificado SHA-1 a SHA-2.

Antes de realizar ninguna acción debemos comprobar que  la infraestructura, servicios o aplicaciones afectadas por este cambio sean compatibles con SHA-2.  Una  vez verificada esta premisa, podríamos generar el certificado. La mayoría de las entidades certificadoras (symantect, digicert, etc) nos van a permitir generar uno nuevo SHA-2 sin coste adicional.

Creación del certificado SHA-2

Para realizar la solicitud de dicho de manera sencilla utilizaremos la librería criptográfica OpenSSL.  Esta herramienta es propia de las distribuciones de Linux, si queremos emplearla desde Windows tendremos que usar algún software como por ejemplo Win32_SSL.

Generación del archivo CSR

Desde una consola de Windows nos ubicamos en el directorio donde se encuentre la instalación de OpenSSL y generamos la solicitud csr , creando una clave de 2048.

image

El fichero csr que se generará será  similar al de la imagen inferior, el cual copiaremos integramente e introduciremos en la página de la CA correspondiente a nuestro certificado.

image

Una vez realizada la solicitud, la entidad certificadora se encargará de generar el crt correspondiente.

Exportación de crt

Descargaremos el archivo crt  generado por la CA a nuestro equipo . Con la clave anteriormente generada (clave.key) y el fichero .crt podremos exportar nuestro certificado a  formato pfx, empleando también la consola de OpenSSL; e indicando a continuación una contraseña para el archivo. Así:

image

Una vez exportado ya podremos instalarlo en nuestros sistemas.

Como cuestiones a tener en cuenta: debemos identificar los sistemas dependientes de los certificados y prestar especial atención a la generación del fichero crt por parte de la CA, ya que una vez generado, el antiguo certificado SHA-1 quedará revocado, y, los sistemas en los que esté instalado podrían dejar de funcionar.  Y con este pequeño apunte me despido. ¡Hasta la próxima!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *