Compatibilidad SHA-256
28 oct 2022
Compatibilidad SHA-256
Introducción
SHA-2 es un conjunto de funciones hash criptográficas que incluye SHA-224, SHA-256 y SHA-512. El 256 en SHA-256 representa el tamaño de bits de la salida hash o compendio cuando se realiza la función hash. No todo el software es compatible con todos los tamaños de compendio dentro de la familia SHA-2. Este artículo se centra específicamente en SHA-256 y su compatibilidad con varias plataformas de software y sistemas operativos. Como regla general, SHA-256 es compatible con OS X 10.5+ y Windows XP SP3+.
Lea nuestro artículo funciones hash para comprender mejor cómo funcionan y cómo se utilizan para validar certificados y documentos.
Para conocer la política de GlobalSign sobre la emisión de
SHA-256, así como las fechas importantes establecidas por Microsoft, Google y Mozilla, lea el artículo de Implementación de SHA-256.
Para comprar un certificado SHA-256 de confianza, póngase en contacto con un representante de GlobalSign.
Índice:
- Soporte de SO, Navegador y Servidor
- Soporte de cortafuegos (firewall)
- Toolkits, bibliotecas, marcos, etc.
- Soporte de Base de Datos
- Soporte detallado del Sistema Operativo
- Clientes de correo electrónico
- Firma de Documentos
- Firma de Código de Windows
- Compatibilidad con SafeNet iKey/eToken
- Mainframe
- Soporte de Citrix
- Servicios
Soporte de SO, Navegador y Servidor
| Versión mínima del sistema operativo (certificados SSL) |
Versión mínima del sistema operativo (certificados de cliente) |
|
|---|---|---|
| Apple OS X | 10.5+ | 10.5+ |
| Apple iOS | 3.0+ (Requerido en iOS 9+) [30] |
3.0+ |
| Android* | 1.0+ (1.6 / 2.2) | 1.0+ |
| Blackberry | 5.0+ | 5.0+ |
| ChromeOS | Todas las versiones | Todas las versiones |
| Windows [1] [2] | XP SP3+ | XP SP3+ |
| Windows Phone | 7+ | 7+ |
| Windows Server | 2003 SP2 +MS13-095 | 2003 SP2 +MS13-095 |
| Versión Mínima del Navegador | ||
| Chrome** [7] | 1.0+ (38+) | |
| Firefox [7] | 1.0+ | |
| Internet Explorer [7] | 6+ (En un sistema operativo compatible con SHA-2) |
|
| Konqueror | 3.5.6+ | |
| Mozilla [7] | 1.4+ | |
| Netscape [7] | 7.1+ | |
| Opera [7] | 6.0+ | |
| Safari | 3+ (Envía con OS X 10.5) |
|
| Versión Mínima del Servidor | ||
| Directorio Activo Servidor Federation (AD FS) [28] | 2.0+ (Debe utilizar CSP que no sean de CNG) |
|
| Servidor Apache HTTP*** | Depende de la versión de OpenSSL o GnuTLS. | |
| Apache Tomcat | Depende de la versión Javan | |
| Servidor IBM Domino [9] | 9.x with Fix Pack | |
| Servidor IBM HTTP [10] | Cualquier versión con GSKit 7.0.4.14 | |
| Servidor IBM WebSphere [26] | 7.0.0.25 / 8.0.04 with PM62842 | |
| Servidor Microsoft Exchange | Dependiendo de la versión de Windows Server | |
| NGINX | Depende de la versión de OpenSSL | |
| Oracle Wallet Manager | 11.2.0.1+ | |
| Oracle Weblogic**** [27] | 10.3.3+ |
* Android tiene la capacidad técnica de manejar certificados SHA-256 desde la versión 1.0. En la práctica, algunos usuarios pueden encontrar problemas con la validación de certificados que usan certificados cruzados (esto ayuda a que los certificados se “encadenen” a raíces alternas). 1.6 mejoró este problema para algunos usuarios, con el problema que se resolvió a partir de la versión 2.2.
** Chrome es capaz de admitir certificados SHA-2 a partir de la versión 1.0, sin embargo, a través de la versión 37 depende del sistema operativo. Por ejemplo, en Windows Server 2003 sin MS13-095 o Windows XP SP2 Chrome no se conectará a páginas mediante certificados SHA-2. La aplicación de MS13-095 a Server 2003 o SP3 a Windows XP permitirá que Chrome admita SHA-2 en estos sistemas heredados.
Chrome 38+ puede validar certificados SHA-2 de forma independiente, incluso en sistemas como Server 2003 sin MS13-095 aplicado.
*** Apache 2.0 se incluye con mod_ssl de forma predeterminada. Las versiones anteriores a 2.0 requieren la instalación manual de mod_ssl para cualquier soporte SSL en absoluto. Mod_gnutls es una alternativa a mod_ssl, aprovechando GnuTLS en lugar de las bibliotecas OpenSSL.
**** Oracle Weblogic Server 10.3.3 y versiones posteriores tienen JSSE disponible para admitir certificados SSL/TLS y conexiones. Las versiones anteriores aprovechan las extensiones de Certicom, que ahora se consideran obsoletas.
10.3.3 es la primera versión que admite oficialmente JSSE, se puede habilitar iniciando sesión en la consola de administración y haciendo clic En Entorno > Servidores > ManagedServerName > Configuración > SSL > Avanzado >Usar JSSE SSL. Haga clic en Guardar; reinicie el servidor. Las versiones anteriores a 10.3.3 pueden habilitar manualmente JSSE, pero no es compatible oficialmente con Oracle.
Soporte de cortafuegos
| Versión mínima | |
|---|---|
| Cisco ASA 5500 [29] | 8.2 (3.9) |
Herramientas, Bibliotecas, Marcos, etc.
| Versión mínima | |
|---|---|
| Java [19] | Java 1.4.2+ |
| Mozilla NSS [18] | 3.8+ |
| OpenSSL* [3] | 0.9.8 / 0.9.8o+ |
| GNUTLS [12] | 1.7.4+ |
| .NET FX[13] | 3.5 SP1+ |
La compatibilidad con SHA-2 se introdujo en OpenSSL 0.9.8, pero no está habilitada de forma predeterminada con SSL_library_init(). En 0.9.8, las funciones hash SHA-2 deben llamarse específicamente o mediante OpenSSL_add_all_algorithms() que pueden no ser deseadas. OpenSSL 0.9.8o habilita los algoritmos hash SHA-2 en la configuración predeterminada.
Soporte de base de datos
| Versión mínima | |
|---|---|
| MYSQL[23] | 5.5.5+ |
| PostgreSQL [24] [25] | 8.1 / 8.2* |
* El módulo pgcrypto para PostgreSQL introdujo soporte para la familia SHA-2 de algoritmos hash con la versión 8.1, pero solo para el módulo independiente. 8.2 incorporó las funciones SHA-2 del módulo pgcrypto en el núcleo PostgreSQL permitiendo que estos hashes estén disponibles para PostgreSQL incluso si la versión instalada de OpenSSL no lo soporta.
Soporte detallado del sistema operativo
| Certificados SSL (lado del cliente) | Certificados SSL (lado del servidor) |
|
Firma de código | |
|---|---|---|---|---|
| Windows XP (SP1, SP2) | ✗ | N/A | ✗ | ✗ |
| Windows XP SP3 | ✓ | N/A | Parcial* | Parcial** |
| Windows Vista | ✓ | N/A | ✓ | Parcial** |
| Windows 7 [20] | ✓ | N/A | ✓ | ✓ |
| Windows 8 | ✓ | N/A | ✓ | ✓ |
| Windows 10 | ✓ | N/A | ✓ | ✓ |
| Windows Server 2003 / 2003 SP1 | ✗ | ✗ | ✗ | ✗ |
| Windows Server 2003 SP2 + MS13-095 | ✓ | ✓ | ✓ | ✗ |
| Windows Server 2008 | ✓ | ✓ | ✓ | Parcial** |
| Windows Server 2008 R2 [20] | ✓ | ✓ | ✓ | ✓ |
| Windows Server 2012 & 2012 R2 | ✓ | ✓ | ✓ | ✓ |
| Windows Mobile 5 | ✗ | N/A | ✗ | N/A |
| Windows Mobile 6 | ✗ | N/A | ✗ | N/A |
| Windows Phone 7 | ✓ | N/A | ✓ | N/A |
| Windows Phone 8 | ✓ | N/A | ✓ | N/A |
Notas sobre la compatibilidad "parcial":
* S/MIME:
- Outlook en Windows XP SP3 puede utilizar certificados firmados con SHA-256, pero no puede validar un correo electrónico firmado mediante el algoritmo hash SHA-256.
- De forma predeterminada, Outlook firma con SHA1 incluso si un certificado SHA2 está en uso, aunque este comportamiento se puede cambiar si se desea.
** Firma de código:
- El código se puede firmar con un certificado SHA2 en cualquiera de los sistemas enumerados como que tienen compatibilidad parcial o total sin problema.
- Hay una incompatibilidad con los controladores de kernel firmados SHA2 en las plataformas parcialmente compatibles. Los controladores de núcleo firmados con certificados SHA2 no se instalarán en sistemas enumerados como compatibles con "parciales".
Clientes de correo electrónico
El algoritmo hash de firma en el propio certificado es independiente del hash de firma colocado en un correo electrónico. Por ejemplo, Outlook 2003 en XP SP3 puede utilizar un certificado firmado con SHA-256 para firmar un cifrado de correos electrónicos. Pero la firma en el correo electrónico se limitará a SHA1.
| Verificar el correo electrónico firmado SHA-1 | Verificar el correo electrónico firmado SHA-256 | Enviar correo electrónico firmado SHA-1 | Enviar correo electrónico firmado SHA-256 | |
|---|---|---|---|---|
| Mozilla Thunderbird 1 - 4 [21] | ✓ | ✗ | ✓ | ✗ |
| Mozilla Thunderbird 5 - 37 [4] [21] | ✓ | ✓ | ✓ | ✗ |
| Mozilla Thunderbird 38+ [22] | ✓ | ✓ | ? | ✓ |
| IBM Notes 8 [8] | ✓ | ✗ | ✓ | ✗ |
| IBM Notes 9 [8] | ✓ | ✓ | ✓ | ✓ |
| Microsoft Entourage 2004 [17] | ✓ | ✗ | ✓ | ✗ |
| Microsoft Entourage 2008 [17] | ✓ | ✓ | ✓ | ✓ |
| Microsoft Outlook 2003 & 2007 en XP SP3 [1] [2] | ✓ | ✗ | ✓ | ✗ |
| Microsoft Outlook 2007 en Windows Vista [1] [2] | ✓ | ✓ | ✓ | ✓ |
| Outlook para Mac 2011 [17] | ✓ | ✓ | ✓ | ✓ |
Establecer el algoritmo hash de Outlook en SHA-1
Outlook 2003: Herramientas > Opciones > Configuración > Seguridad > Configuración > Algoritmo hash > SHA1
Outlook 2007, 2010, 2013: Archivo > Opciones > Centro de confianza > Configuración del Centro de confianza > Seguridad del correo electrónico > Configuración > Algoritmo hash > SHA1
Firma de documentos
| Coloque la firma SHA1 con el certificado SHA-256 | Coloque la firma SHA2 con el certificado SHA-256 | Validar la firma SHA2 | |
|---|---|---|---|
| LibreOffice 4[7] | ✓ | ✗ | ✗ |
| Microsoft Office 2003, 2007[7] | ✓ | ✗ | ✗ |
| Microsoft Office 2010, 2013 | ✓ | ✓ | ✓ |
| Adobe Acrobat 8.0+ | ✓ | ✓ | ✓ |
| Adobe Reader 8.0+ | ✓ Ver Nota |
✓ Ver Nota |
✓ |
Nota: Adobe Reader 8+ puede colocar firmas con un ID digital si la funcionalidad se ha habilitado a través de Adobe Acrobat Professional.
Adobe Acrobat y Adobe Reader son compatibles con los certificados SHA-256 a partir de la versión 8.0, pero siguen colocando las firmas SHA1 de forma predeterminada. A partir de la versión 9.1, Acrobat & Reader preferirá SHA-256 para el hash de firma si está disponible, de lo contrario recurrirá a SHA1. Las firmas SHA-2 se pueden preferir en versiones anteriores a la 9.1 a través de ediciones en el registro.
Las firmas digitales colocadas con versiones más recientes de Microsoft Office pueden no ser compatibles con versiones anteriores. La compatibilidad heredada se puede especificar manualmente.
Office 2003 - 2010 funciona con certificados SHA-2, pero coloque las firmas SHA1. Office 2013 usa SHA2 como hash de firma predeterminado cuando está disponible. Puede especificar el hash de firma en Office 2010 y 2013 a través del registro.
Firma de código de Windows
| Ejecutables | Controladores de kernel |
Office 2003, 2007 |
Office 2010 |
Office 2013 |
|
|---|---|---|---|---|---|
| Windows XP (SP1, SP2) | ✗ | ✗ | ✗ | ✗ | N/A |
| Windows XP SP3 | ✓ | ✗ | ✗ | ✓ | N/A |
| Windows Vista [15] | ✓ | ✗ | ✗ | ✓ | N/A |
| Windows 7 [20] | ✓ | ✓ | ✗ | ✓ | ✓ |
| Windows 8 | ✓ | ✓ | ✗ | ✓ | ✓ |
| Windows 10 | ✓ | ✓ | ✗ | ✓ | ✓ |
Office 2010 en Windows 7 requiere la revisión kb 2598139 para agregar compatibilidad con SHA-256 para Certificados de Firma de Código.
Windows 7 y Windows Server 2008 R2 requieren kb 3033929 para validar los controladores de kernel firmados SHA-2. Esta actualización no está disponible para XP, Vista, 2003 o 2008.
Para obtener una visión más detallada de la compatibilidad con algoritmos hash en certificados y resúmenes de archivos en Windows, lea el artículo Compatibilidad con Algoritmos Hash de Firma de Código de Windows.
| Versión mínima | |
|---|---|
| Visual Studio Tools for Office (VSTO) [16] | 10.0.50325 |
Compatibilidad con SafeNet iKey/eToken
| Funciona con certificado SHA2 | Colocar firma SHA1 | Colocar firma SHA2 | |
|---|---|---|---|
| iKey 4000 [5] | ✓ | ✓ | ✗ |
| eToken 5100 [6] | ✓ | ✓ | ✓ |
Mainframe
|
|
|
|---|---|
| IBM z/OS [11] | v1r10 |
Soporte de Citrix
| Versión mínima | |
|---|---|
| Citrix Receiver | Varía - Ver PDF |
Fuentes
[1] SHA2 y Windows.
[2] Preguntas Frecuentes sobre SHA2 y Windows.
[3] Notas de la versión de OpenSSL 0.9.8 Branch
[4] Error 222179 - Las preferencias del usuario deben controlar los cifrados utilizados al enviar mensajes S/MIME cifrados
[5] Especificaciones de iKey 4000
[6] Especificaciones de eToken 5100
[7] Verificación interna
[8] Soporte sHA2 de IBM Notes
[9] Soporte de IBM Domino Planned SHA-2
[10] IBM HTTP Server
[11] IBM z/OS
[12] GnuTLS
[13] Blog de .NET Security
[14] Asesoría de seguridad 2949927 (Soporte para controladores kernel para Hash SHA-2 - Actualmente Retractado)
[15] Ejecutables firmados SHA-2 Windows Vista & Server 2008
[16] Actualización para la Implementación VSTO para direccionar "Publicador Desconocido" para certificados SHA256
[17] Requisitos de certificado digital (Technet)
[18] Notas de la versión de Mozilla NSS 3.8
[19] Notas de la versión de Java 1.4.2
[20] Disponibilidad de compatibilidad con la firma de código SHA-2 para Windows 7 y Windows Server 2008 R2
[21] Agregue el reconocimiento de hashes SHA-2 al verificar los mensajes S/MIME
[22] Notas de la versión de Thunderbird 38
[23] Notas de la versión de MYSQL 5.5
[24] Notas de la versión de PostgreSQL 8.1
[25] Notas de la versión de PostgreSQL 8.2
[26] PM62842: Actualización para la implementación de seguridad de servicios web para admitir algoritmos de firma SHA-2
[27] Oracle Weblogic - Configuración de SSL
[28] Requisitos de certificado para servidores Federation
[29] Notas de la versión para Cisco ASA 5500
[30] Note técnica de seguridad de transporte de aplicaciones
Related Articles
Atlas Discovery
Escanee sus puntos finales (endpoints) para localizar todos sus Certificados.
RegistrarsePrueba de Configuración para SSL
Verifique la instalación de su certificado para detectar problemas y vulnerabilidades de SSL.