google-seguridad

google-seguridad

Software

Casi el 20% de las páginas HTTPS usan certificados inseguros

Da igual que una página esté cifrada: si usa certificados inseguros eso no sirve de mucho. Y sin embargo, una buena cantidad de páginas no ha actualizado.

2 febrero, 2015 16:02

Noticias relacionadas

Cada vez más páginas web usan conexiones cifradas para proteger a sus usuarios, sobre todo si tienen que gestionar sus datos. Sin embargo, aún hay muchas que lo hacen de manera obsoleta, con certificados inseguros.

Un estudio basado en el millón de páginas más vistas según Alexa así lo revela: el 19.5% de las páginas web que usan HTTPS lo hacen con certificados obsoletos con serias dudas sobre la seguridad que ofrecen. En particular estamos hablando de los certificados que usaron el algoritmo SHA-1 para ser cifrados; el año pasado los grandes desarrolladores de navegadores web, Google, Mozilla y Microsoft, se pusieron de acuerdo en dejar de aceptar este tipo de certificados a partir de 2017 y en dejar de emitirlos después de 2016.

Certificados inseguros, un problema en la web

SHA-1 ya tiene casi veinte años, y en los últimos años se ha demostrado especialmente vulnerable a los ataques de colisión, los que se aprovechan cuando el algoritmo cifra dos datos diferentes y el resultado es el mismo.

certificados inseguros sha-1 1

certificados inseguros sha-1 1

Pese a que esta vulnerabilidad es bien conocida en la actualidad el 19.5% de los sitios sigue usando SHA-1 con 2016 como fecha de caducidad para cifrar los certificados que les identifican como los verdaderos propietarios de la página. No solo eso, sino que con el próximo lanzamiento de la versión 41 de Chrome esas páginas no serán consideradas completamente seguras.

certificados inseguros sha-1 2

certificados inseguros sha-1 2

En vez del candado verde que suele aparecer en páginas cifradas, aparecerá otro con un triángulo amarillo que indica que la página es segura, pero con fallos o posibles errores. Esto puede asustar a los visitantes y es algo con lo que se van a enfrentar muchas páginas dentro de poco, en cuanto Chrome 41 vea la luz. Además, aquellas páginas cifradas con caducidad en 2017 en adelante se marcarán como inseguras.

Por lo tanto, si de repente ves que algunas de las páginas que mas visitas han “perdido” seguridad de un día para otro es por esto; no es que hayan cambiado de protocolo, sino el problema es precisamente que no han cambiado a otro cifrado más seguro para sus certificados.