Noticias

Para Google Chrome, el 50% de la Banca chilena ya no es segura

noviembre 2, 2015
En Septiembre del año 2014, Google Chome anunció que comenzaría a marcar como inseguros o como obsoletos los sitios que utilicen firmas débiles en sus certificados HTTPS. En la actualidad, el 50% de la Banca en línea chilena utiliza este tipo de certificados. Para Chrome, el hecho de que un algoritmo sea obsoleto se debe […]

En Septiembre del año 2014, Google Chome anunció que comenzaría a marcar como inseguros o como obsoletos los sitios que utilicen firmas débiles en sus certificados HTTPS. En la actualidad, el 50% de la Banca en línea chilena utiliza este tipo de certificados.
Para Chrome, el hecho de que un algoritmo sea obsoleto se debe a que ya existen investigaciones y pruebas de concepto que permiten realizar colisiones.

sha1chromeDesde la versión 39 Chrome comenzó a mostrar alertas respecto a este tipo de certificados, desde la versión 41 en adelante fueron aumentando la visibilidad a las alertas y de acuerdo a lo revisado en la versión 46, los sitios que continuan utilizando firmas débiles ya no se muestran con el candado en la barra de dirección.

chromehttpslockerAdicionalmente, el navegador muestra el mensaje indicando que se está utilizando SHA-1 como algoritmo para firma del certificado con el fin de informar al usuario que su conexión o navegación podría no ser privada.

chromehttpsmsgDe acuerdo a un análisis realizado a los 12 principales bancos del país, se determinó que el 50% de la banca en línea en chile continúa utilizando SHA-1 para firmar sus certificados HTTPS.

Lee aquí el anuncio de Google y su política para “Gradually sunsetting SHA-1“. Para revisar si tu sitio web se ve afectado, existe un sitio web llamado sha1affected.com.

En NIVEL4 hemos creado el siguiente script en bash para que puedas verificar desde la línea de comandos si tu sitio se ve afectado

#!/bin/bash

if [ $# -eq 2 ];
then
	HOST=$1
	PORT=$2
	TARGET=$1":"$2
else
	echo "Se debe especificar HOST y PUERTO"
	echo "USAGE: $0 www.example.com 443"
	exit 1
fi

CERT=$(openssl s_client -connect $TARGET < /dev/null 2>/dev/null | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm"|head -1|awk {'print $3'})
if [ $CERT == "sha1WithRSAEncryption" ];
then
	echo "[+] NOK: $TARGET usa SHA-1 ($CERT)"
else
	echo "[+] OK: $TARGET no utiliza SHA-1 (detectado $CERT)"
fi

Ejemplo de uso:

[n4@labs:~]$ sh sha1check.sh http://www.google.com 443
[+] OK: http://www.google.com:443 no utiliza SHA-1 (detectado sha256WithRSAEncryption)

[n4@labs:~]$ sh sha1check.sh http://www.nic.cl 443
[+] NOK: http://www.nic.cl:443 usa SHA-1 (sha1WithRSAEncryption)
 

chilechromechromiumgooglegoogle chromehttpsseguridadshasha-1sha1

Comparte este Artículo

Artículos relacionados