Actualización a Certificado SSL: Migrando de SHA-1 a SHA-256

Boletín de noticias para la comunidad de LastPass:

En nuestro constante esfuerzo para proporcionar la mejor seguridad para los usuarios de LastPass, esta noche nuestro certificado SSL para LastPass.com se cambiará de un certificado SHA-1 a un certificado SHA-256. El nuestro continuará siendo un Certificado de Validación Extendido Thawte (EV).

¿Por qué ahora? Hemos empezado este proceso el año pasado, pero debido al uso continuado de antiguas versiones de XP nuestros esfuerzos se estancaron. Ahora que Google y otros están promocionando activamente SHA-256, estamos seguros de que podemos hacer la transición con un impacto mínimo en nuestra comunidad.

Todos los cambios ocurrirán en un segundo plano, por lo que los usuarios de LastPass no deberían encontrar ningún problema o interrupción del servicio. ¿Sugerencias o quejas? Por favor háganoslas saber en la sección de comentarios más abajo o póngase en contacto con nuestro servicio de atención al cliente.

¿SHA-qué?

¿Se está preguntando de que trata todo esto?

Sabe buscar el icono del “candado” y HTTPS al principio de la dirección URL de la web. Esos detalles indican que está en una conexión segura en la web. Esa conexión segura se crea con un certificado SSL (que da la “S” a HTTPS). El certificado SSL, emitido por una Autoridad de Certificados (CA), encripta su conexión y verifica que se ha conectado a una web real.

El CA condensa el certificado al ejecutarlo a través de un algoritmo hash de un sentido, luego “firma” criptográficamente esa versión condensada del certificado. La mayoría de las webs que utilizan SSL usan el algoritmo SHA para crear ese hash, siendo SHA-1 es más comúnmente utilizado. Los hashes de un sólo sentido son únicos para cada certificado web. Cuando su navegador evalúa el certificado de una web, calcula el hash SHA-1 por sí mismo, luego lo compara con el hash registrado que la web ofrece como verificación. Si coinciden, el navegador da luz verde y le hace saber que la información es segura.

El problema es que el SHA-1 no es tan fuerte como solía ser. Ahora que los ordenadores son más rápidos y baratos, aumenta el riesgo de que los atacantes puedan desarrollar un certificado y engañar al navegador para que piense que se ha conectado al sitio web adecuado.

Los vendedores ahora están cambiando a la siguiente y más fuerte generación de algoritmo SHA-2 para aumentar la seguridad y protegerse de ataques. SHA-2 crea hashes más largos y ahora mismo es resistente a los ataques a los que SHA-1 es vulnerable. Si utiliza Chrome, puede que haya empezado a ver avisos de certificados con iconos de candados amarillos, que es parte del esfuerzo de Google para acabar con los certificados SHA-1 y que la web siga adelante con los SHA-2.

Al final del día, la transición no tiene un impacto con la experiencia de usuario de LastPass, sino que promueve nuestra misión de mantener sus datos seguros mientras la web evoluciona. Es el mismo LastPass, incluso con una mejor seguridad.

 

Gracias por sintonizar,

El Equipo LastPass