Migración de certificados SHA-1 a SHA-2
Los certificados electrónicos permiten asegurar y acreditar webs, aplicaciones y servicios informáticos. Gracias a ellos, muchas de las transacciones electrónicas que realizamos a diario son seguras . Para la creación de dicho, se emplea una fórmula matemática o hash que determina su huella electrónica. Es por ello, que es muy importante que este código sea robusto y resistente frente a ataques que puedan vulnerarlo y suplantarlo.
Desde 1995 el algoritmo más empleado para la generaciónde certificados era el SHA-1. Dicha firma se consideraba inquebrantable con la tecnología vigente, pero hace un tiempo se comprobó que no era tan inexpugnable . Esto, junto con la bajada de los precios en el cloud computing (que permite emplear grandes recursos computacionales para el cálculo de combinaciones) ha agilizado la obsolencia de esta firma; y, empresas como Microsoft y Google, han establecido una serie de plazos para realizar la migración a SHA-2. Así pues, esta semana me gustaría explicar cómo poder migrar nuestro certificado SHA-1 a SHA-2.
Antes de realizar ninguna acción debemos comprobar que la infraestructura, servicios o aplicaciones afectadas por este cambio sean compatibles con SHA-2. Una vez verificada esta premisa, podríamos generar el certificado. La mayoría de las entidades certificadoras (symantect, digicert, etc) nos van a permitir generar uno nuevo SHA-2 sin coste adicional.
Creación del certificado SHA-2
Para realizar la solicitud de dicho de manera sencilla utilizaremos la librería criptográfica OpenSSL. Esta herramienta es propia de las distribuciones de Linux, si queremos emplearla desde Windows tendremos que usar algún software como por ejemplo Win32_SSL.
Generación del archivo CSR
Desde una consola de Windows nos ubicamos en el directorio donde se encuentre la instalación de OpenSSL y generamos la solicitud csr , creando una clave de 2048.
El fichero csr que se generará será similar al de la imagen inferior, el cual copiaremos integramente e introduciremos en la página de la CA correspondiente a nuestro certificado.
Una vez realizada la solicitud, la entidad certificadora se encargará de generar el crt correspondiente.
Exportación de crt
Descargaremos el archivo crt generado por la CA a nuestro equipo . Con la clave anteriormente generada (clave.key) y el fichero .crt podremos exportar nuestro certificado a formato pfx, empleando también la consola de OpenSSL; e indicando a continuación una contraseña para el archivo. Así:
Una vez exportado ya podremos instalarlo en nuestros sistemas.
Como cuestiones a tener en cuenta: debemos identificar los sistemas dependientes de los certificados y prestar especial atención a la generación del fichero crt por parte de la CA, ya que una vez generado, el antiguo certificado SHA-1 quedará revocado, y, los sistemas en los que esté instalado podrían dejar de funcionar. Y con este pequeño apunte me despido. ¡Hasta la próxima!