Zeroshell y algoritmo SHA - Como cambiar a SHA256 u otro más robusto

Aplicaciones para el funcionamiento en red de nuestros ordenadores

Moderador: mbserran

Avatar de Usuario
mbserran
Administrador del Sitio
Administrador del Sitio
Mensajes: 7713
Registrado: 31 Mar 2015, 14:28
Ubicación: Aranjuez
Contactar:
Estado: Desconectado

Zeroshell y algoritmo SHA - Como cambiar a SHA256 u otro más robusto

Mensaje por mbserran »

Desde hace un tiempo Google demostró que el algoritmo SHA1 es débil porque varias cadenas origen diferentes pueden dar lugar al mismo resultado hash, lo que significa en la práctica que está roto.

Por esa razón, muchos navegadores (entre ellos Chrome, Firefox y otros) han dejado de soportar el certificado firmado con SHA1 como un certificado válido, y lo muestran al intentar acceder a páginas que lo usen.

En Zeroshell los certificados que genera la entidad CA implementada en el mismo son generados por defecto con SHA1, por lo que seguramente estaréis interesados en cambiarlo a otro más robusto, como SHA256. En realidad no está accesible desde la GUI de Zeroshell pero es sencillo. Eso sí, tendréis que regenerar la entidad certificadora completa y todos los certificados.

Para hacerlo entrad en la consola de Zeroshell y dirigíos abrid el siguiente fichero de configuración openssl:

Código: Seleccionar todo

/Database/etc/ssl/openssl.cnf
En ese fichero tendréis que ir a la sección de valores por defecto y cambiar este parámetro:

Código: Seleccionar todo

default_md = sha1
Podéis poner sha256 y sobreescribir el fichero.

A partir de ahí tendréis que regenerar todos los certificados y reinstalarlos en las máquinas y usuarios correspondientes, y sobre todo empezar por el propio certificado CA. Y ya estará. Tenéis un certificado firmado con SHA256.
Responder