Hashes
Los algoritmos que generan hashes son una de las piezas básicas para la criptografía. Entre sus usos más importante está la validación de certificados (o firmas) digitales. Genera una especie de huella digital de un documento; de longitud fija, con varias características de seguridad.
Vulnerabilidad
Se han desarrollado ataques teóricos que reducen la fortaleza de SHA de 280 a 260. Si bien esto no ha sido explotado, incluso con un intento de dos años utilizando cómputo distribuido, los ataques criptográficos solo pueden mejorar.
Explotabilidad
Hasta el día de hoy NO ha habido ningún ataque que permitiría violar una firma digital o falsificar un certificado firmado con SHA-1. Los ataques que se han hecho han sido contra versiones reducidas o sobre la complejidad. Lo más que se ha logrado es obtener al mismo tiempo dos cadenas aleatorias que llegan al mismo hash. Esto no permite atacar certificados digitales.
Ataque
En caso de que se descubrieran nuevos ataques, sería potencialmente posible para un atacante con suficiente capacidad de cómputo generar un certificado falso indistinguible de uno verdadero.
Impacto
Los principales navegadores (ver referencias) van a marcar como inseguros los certificados públicos firmados con SHA-1 a partir de Enero 2017. Curiosamente, los certificados emitidos por CAs privadas, NO serán afectados. Las CAs públicas llevan más de un año emitiendo únicamente certificados SHA-2, por lo que probablemente ya hayan sido migrados todos los que se requiere migrar urgentemente. De cualquier manera los privados y todos los usos de SHA-1 para firmas deben actualizarse. Son pocos y viejos los sistemas operativos (XP y 2003 Server, por ejemplo) que requieren parches para poder soportar SHA-2.
Normativa
NIST Special Publication 800-57 Part 1
Recommendation for Key Management
NIST Special Publication 800-131A
Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths
Referencias
CA/Browser Forum
Microsoft Internet Explorer
Mozilla Firefox
Google Chrome
Información General y Técnica