Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Bloqueo de SHA-1 puede afectar seguridad en Firefox
Mozilla ha advertido a los usuarios de Firefox que podrían ser bloqueados de la red más de lo esperado, ahora que los navegadores rechazan los certificados HTTPS que usan el algoritmo débil SHA-1.
Al usar Firefox con algunos productos antivirus o estar en una red con algún dispositivo que inspeccione tráfico malicioso y visitar un sitio con un certificado SSL firmado con un algoritmo obsoleto SHA-1, el navegador se negará a acceder a esa página web.
Firefox rechaza los certificados firmados con SHA-1 emitidos desde finales de 2015 debido a que el algoritmo de funciones de hash es problemático: un incluso podría manipular el certificado con fines de espionaje sin que el usuario lo note.
En teoría, Firefox sólo rechazaría los certificados SHA-1 nuevos, pero puede llegar a rechazar certificados SHA-1 más antiguos, también. Se espera que todos los nuevos certificados utilicen SHA-256 o mejores.
"Para los usuarios de Firefox que están detrás de ciertos dispositivos man-in-the-middle (hombre en el medio, incluyendo algunos escáneres de seguridad y productos antivirus), este cambio eliminaría su habilidad para acceder a páginas web HTTPS", explicó el ingeniero de seguridad Richard Barnes.
"Cuando un usuario intenta conectarse a un sitio HTTPS, el dispositivo man-in-the-middle manda a Firefox un nuevo certificado SHA-1 en lugar del certificado verdadero del servidor. Debido a que Firefox rechaza nuevos certificados SHA-1, no se puede conectar al servidor."
Los usuarios con este problema pueden cortar y pegar "about:config" en la barra de dirección, teclear "enter", y cambiar el valor de "security.pki.sha1_enforcement_level" a 0 para hacer aceptable de nuevo a SHA-1. Sin embargo, se debe tomar en cuenta que se está negociando un problema de seguridad (la inhabilidad de filtrar tráfico malicioso) contra otro (la inhabilidad de verificar con seguridad la integridad de la conexión HTTPS).
Si un dispositivo de seguridad está causando problemas, Barnes sugiere actualizar el software a la última versión, ya que muchos proveedores también están abandonando SHA-1. Microsoft, Google y Facebook se están deshaciendo de SHA-1 y otros equipos tecnológicos están siguiendo rápidamente su ejemplo.
Desde hace tiempo se ha sabido que los hashes SHA-1 son teóricamente vulnerables a ataques; en octubre esto fue probado de forma dramática con sólo un presupuesto de 75,000 dólares de poder de cómputo en la nube. Ahora es bastante común.
