Compatibilidad SHA-256

Compatibilidad SHA-256

Introducción

SHA-2 es un conjunto de funciones hash criptográficas que incluye SHA-224, SHA-256 y SHA-512. El 256 en SHA-256 representa el tamaño de bits de la salida hash o compendio cuando se realiza la función hash. No todo el software es compatible con todos los tamaños de compendio dentro de la familia SHA-2. Este artículo se centra específicamente en SHA-256 y su compatibilidad con varias plataformas de software y sistemas operativos. Como regla general, SHA-256 es compatible con OS X 10.5+ y Windows XP SP3+.

Lea nuestro artículo funciones hash para comprender mejor cómo funcionan y cómo se utilizan para validar certificados y documentos.
Para conocer la política de GlobalSign sobre la emisión de
SHA-256, así como las fechas importantes establecidas por Microsoft, Google y Mozilla, lea el artículo de Implementación de SHA-256.   

Para comprar un certificado SHA-256 de confianza, póngase en contacto con un representante de GlobalSign.

Índice:

  1. Soporte de SO, Navegador y Servidor
  2. Soporte de cortafuegos (firewall)
  3. Toolkits, bibliotecas, marcos, etc.
  4. Soporte de Base de Datos
  5. Soporte detallado del Sistema Operativo
  6. Clientes de correo electrónico
  7. Firma de Documentos
  8. Firma de Código de Windows
  9. Compatibilidad con SafeNet iKey/eToken
  10. Mainframe
  11. Soporte de Citrix
  12. Servicios

Soporte de SO, Navegador y Servidor  

  Versión mínima del sistema operativo
(certificados SSL) 
Versión mínima del sistema operativo
(certificados de cliente)
Apple OS X 10.5+ 10.5+
Apple iOS 3.0+
(Requerido en iOS 9+) [30]
3.0+
Android* 1.0+ (1.6 / 2.2) 1.0+
Blackberry 5.0+ 5.0+
ChromeOS Todas las versiones Todas las versiones
Windows [1] [2] XP SP3+ XP SP3+
Windows Phone 7+ 7+
Windows Server 2003 SP2 +MS13-095 2003 SP2 +MS13-095
     
  Versión Mínima del Navegador  
Chrome** [7] 1.0+ (38+)  
Firefox [7] 1.0+  
Internet Explorer [7] 6+
(En un sistema operativo compatible con SHA-2)
 
Konqueror 3.5.6+  
Mozilla [7] 1.4+  
Netscape [7] 7.1+  
Opera [7] 6.0+  
Safari 3+
(Envía con OS X 10.5)
 
     
  Versión Mínima del Servidor  
Directorio Activo Servidor Federation (AD FS) [28] 2.0+
(Debe utilizar CSP que no sean de CNG)
 
Servidor Apache HTTP*** Depende de la versión de OpenSSL o GnuTLS.  
Apache Tomcat Depende de la versión Javan  
Servidor  IBM Domino [9] 9.x with Fix Pack  
Servidor  IBM HTTP [10] Cualquier versión con GSKit 7.0.4.14   
Servidor IBM WebSphere [26] 7.0.0.25 / 8.0.04 with PM62842  
Servidor Microsoft Exchange Dependiendo de la versión de Windows Server  
NGINX Depende de la versión de OpenSSL  
Oracle Wallet Manager 11.2.0.1+  
Oracle Weblogic**** [27] 10.3.3+  

  
* Android tiene la capacidad técnica de manejar certificados SHA-256 desde la versión 1.0. En la práctica, algunos usuarios pueden encontrar problemas con la validación de certificados que usan certificados cruzados (esto ayuda a que los certificados se “encadenen” a raíces alternas). 1.6 mejoró este problema para algunos usuarios, con el problema que se resolvió a partir de la versión 2.2.

** Chrome es capaz de admitir certificados SHA-2 a partir de la versión 1.0, sin embargo, a través de la versión 37 depende del sistema operativo. Por ejemplo, en Windows Server 2003 sin MS13-095 o Windows XP SP2 Chrome no se conectará a páginas mediante certificados SHA-2. La aplicación de MS13-095 a Server 2003 o SP3 a Windows XP permitirá que Chrome admita SHA-2 en estos sistemas heredados.

Chrome 38+ puede validar certificados SHA-2 de forma independiente, incluso en sistemas como Server 2003 sin MS13-095 aplicado.

*** Apache 2.0 se incluye con mod_ssl de forma predeterminada. Las versiones anteriores a 2.0 requieren la instalación manual de mod_ssl para cualquier soporte SSL en absoluto.  Mod_gnutls es una alternativa a mod_ssl, aprovechando GnuTLS en lugar de las bibliotecas OpenSSL.

**** Oracle Weblogic Server 10.3.3 y versiones posteriores tienen JSSE disponible para admitir certificados SSL/TLS y conexiones. Las versiones anteriores aprovechan las extensiones de Certicom, que ahora se consideran obsoletas.

10.3.3 es la primera versión que admite oficialmente JSSE, se puede habilitar iniciando sesión en la consola de administración y haciendo clic En Entorno > Servidores > ManagedServerName > Configuración > SSL > Avanzado >Usar JSSE SSL. Haga clic en Guardar; reinicie el servidor. Las versiones anteriores a 10.3.3 pueden  habilitar manualmente JSSE, pero no es compatible oficialmente con Oracle.

Soporte de cortafuegos

  Versión mínima
Cisco ASA 5500 [29] 8.2 (3.9)

Herramientas, Bibliotecas, Marcos, etc.  

  Versión mínima
Java [19] Java 1.4.2+
Mozilla NSS [18] 3.8+
OpenSSL* [3] 0.9.8 / 0.9.8o+
GNUTLS [12] 1.7.4+
.NET FX[13] 3.5 SP1+


La compatibilidad con SHA-2 se introdujo en OpenSSL 0.9.8, pero no está habilitada de forma predeterminada con SSL_library_init(). En 0.9.8, las funciones hash SHA-2 deben llamarse específicamente o mediante OpenSSL_add_all_algorithms() que pueden no ser deseadas. OpenSSL 0.9.8o habilita los algoritmos hash SHA-2 en la configuración predeterminada.

Soporte de base de datos 

  Versión mínima
MYSQL[23] 5.5.5+
PostgreSQL [24] [25] 8.1 / 8.2*

 
* El módulo pgcrypto para PostgreSQL introdujo soporte para la familia SHA-2 de algoritmos hash con la versión 8.1, pero solo para el módulo independiente. 8.2 incorporó las funciones SHA-2 del módulo pgcrypto en el núcleo PostgreSQL permitiendo que estos hashes estén disponibles para PostgreSQL incluso si la versión instalada de OpenSSL no lo soporta.

Soporte detallado del sistema operativo

  Certificados SSL (lado del cliente) Certificados SSL (lado del servidor)
S/MIME
Firma de código
Windows XP (SP1, SP2) N/A
Windows XP SP3 N/A Parcial* Parcial**
Windows Vista N/A Parcial**
Windows 7 [20] N/A
Windows 8 N/A
Windows 10 N/A
         
Windows Server 2003 / 2003 SP1
Windows Server 2003 SP2 + MS13-095
Windows Server 2008 Parcial**
Windows Server 2008 R2 [20]
Windows Server 2012 & 2012 R2
         
Windows Mobile 5 N/A N/A
Windows Mobile 6 N/A N/A
Windows Phone 7 N/A N/A
Windows Phone 8 N/A N/A


Notas sobre la compatibilidad "parcial":
* S/MIME:

  • Outlook en Windows XP SP3 puede utilizar certificados firmados con SHA-256, pero no puede validar un correo electrónico firmado mediante el algoritmo hash SHA-256.
  • De forma predeterminada, Outlook firma con SHA1 incluso si un certificado SHA2 está en uso, aunque este comportamiento se puede cambiar si se desea.

** Firma de código:

  • El código se puede firmar con un certificado SHA2 en cualquiera de los sistemas enumerados como que tienen compatibilidad parcial o total sin problema.
  • Hay una incompatibilidad con los controladores de kernel firmados SHA2 en las plataformas parcialmente compatibles. Los controladores de núcleo firmados con certificados SHA2 no se instalarán en sistemas enumerados como compatibles con "parciales".

 Clientes de correo electrónico

El algoritmo hash de firma en el propio certificado es independiente del hash de firma colocado en un correo electrónico. Por ejemplo, Outlook 2003 en XP SP3 puede utilizar un certificado firmado con SHA-256 para firmar un cifrado de correos electrónicos. Pero la firma en el correo electrónico se limitará a SHA1.

  Verificar el correo electrónico firmado SHA-1 Verificar el correo electrónico firmado SHA-256 Enviar correo electrónico firmado SHA-1 Enviar correo electrónico firmado SHA-256
Mozilla Thunderbird 1 - 4 [21]
Mozilla Thunderbird 5 - 37 [4] [21]
Mozilla Thunderbird 38+ [22] ?
IBM Notes 8 [8]
IBM Notes 9 [8]
Microsoft Entourage 2004 [17]
Microsoft Entourage 2008 [17]
Microsoft Outlook 2003 & 2007 en XP SP3 [1] [2]
Microsoft Outlook 2007 en Windows Vista [1] [2]
Outlook para Mac 2011 [17]

 
Establecer el algoritmo hash de Outlook en SHA-1
Outlook 2003: Herramientas > Opciones > Configuración > Seguridad > Configuración > Algoritmo hash > SHA1
Outlook 2007, 2010, 2013: Archivo > Opciones > Centro de confianza > Configuración del Centro de confianza > Seguridad del correo electrónico > Configuración > Algoritmo hash > SHA1

Firma de documentos

  Coloque la firma SHA1 con el certificado SHA-256 Coloque la firma SHA2 con el certificado SHA-256 Validar la firma SHA2
LibreOffice 4[7]
Microsoft Office 2003, 2007[7]
Microsoft Office 2010, 2013
Adobe Acrobat 8.0+
Adobe Reader 8.0+
Ver Nota

Ver Nota


Nota: Adobe Reader 8+ puede colocar firmas con un ID digital si la funcionalidad se ha habilitado  a través de Adobe Acrobat Professional.

Adobe Acrobat y Adobe Reader son compatibles con los certificados SHA-256 a partir de la versión 8.0, pero siguen colocando las firmas SHA1 de forma predeterminada. A partir de la versión 9.1, Acrobat & Reader preferirá SHA-256 para el hash de firma si está disponible, de lo contrario recurrirá a SHA1. Las firmas SHA-2 se pueden preferir en versiones anteriores a la 9.1 a través de ediciones en el registro.

Las firmas digitales colocadas con versiones más recientes de Microsoft Office pueden no ser compatibles con versiones anteriores. La compatibilidad heredada se puede especificar manualmente.

Office 2003 - 2010 funciona con certificados SHA-2, pero coloque las firmas SHA1. Office 2013 usa SHA2 como hash de firma predeterminado cuando está disponible. Puede especificar el hash de firma en Office 2010 y 2013 a través del registro.

Firma de código de Windows  

 

  Ejecutables  Controladores de kernel
VBA Macros:
Office 2003, 2007
VBA Macros:
Office 2010
VBA Macros:
Office 2013
Windows XP (SP1, SP2) N/A
Windows XP SP3 N/A
Windows Vista [15] N/A
Windows 7 [20]
Windows 8
Windows 10

 

 
Office 2010 en Windows 7 requiere la revisión kb 2598139  para agregar compatibilidad con SHA-256 para Certificados de Firma de Código.

Windows 7 y Windows Server 2008 R2 requieren kb 3033929 para validar los controladores de kernel firmados SHA-2. Esta actualización no está disponible para XP, Vista, 2003 o 2008.

Para obtener una visión más detallada de la compatibilidad con algoritmos hash en certificados y resúmenes de archivos en Windows, lea el artículo Compatibilidad con Algoritmos Hash de Firma de Código de Windows.

  Versión mínima
Visual Studio Tools for Office (VSTO) [16] 10.0.50325

Compatibilidad con SafeNet iKey/eToken
 

  Funciona con certificado SHA2 Colocar firma SHA1 Colocar firma SHA2
iKey 4000 [5]
eToken 5100 [6]

Mainframe 

 
Versión mínima 
IBM z/OS [11] v1r10

 Soporte de Citrix

  Versión mínima
Citrix Receiver Varía - Ver PDF

    
Fuentes
[1] SHA2 y Windows.
[2] Preguntas Frecuentes sobre SHA2 y Windows.
[3] Notas de la versión de OpenSSL 0.9.8 Branch
[4] Error 222179 - Las preferencias del usuario deben controlar los cifrados utilizados al enviar mensajes S/MIME cifrados
[5] Especificaciones de iKey 4000
[6] Especificaciones de eToken 5100
[7] Verificación interna
[8] Soporte sHA2 de IBM Notes
[9] Soporte de IBM Domino Planned SHA-2
[10] IBM HTTP Server
[11] IBM z/OS
[12] GnuTLS
[13] Blog de .NET Security
[14] Asesoría de seguridad 2949927 (Soporte para controladores kernel para Hash SHA-2 - Actualmente Retractado)
[15] Ejecutables firmados SHA-2  Windows Vista & Server 2008
[16] Actualización para la Implementación VSTO para direccionar "Publicador Desconocido" para certificados SHA256
[17] Requisitos de certificado digital (Technet)
[18] Notas de la versión de Mozilla NSS 3.8
[19] Notas de la versión de Java 1.4.2
[20] Disponibilidad de compatibilidad con la firma de código SHA-2 para Windows 7 y Windows Server 2008 R2
[21] Agregue el reconocimiento de hashes SHA-2 al verificar los mensajes S/MIME
[22] Notas de la versión de Thunderbird 38
[23] Notas de la versión de MYSQL 5.5
[24] Notas de la versión de PostgreSQL 8.1
[25] Notas de la versión de PostgreSQL 8.2
[26] PM62842: Actualización para la implementación de seguridad de servicios web para admitir algoritmos de firma SHA-2
[27] Oracle Weblogic - Configuración de SSL
[28] Requisitos de certificado para servidores Federation
[29] Notas de la versión para Cisco ASA 5500
[30] Note técnica de seguridad de transporte de aplicaciones

 

Related Articles

Alertas de Sistema de GlobalSign

Ver alertas recientes del sistema.

Ver Alertas

Herramienta de Inventario para Certificados

Escanee sus puntos finales (endpoints) para localizar todos sus Certificados.

Iniciar sesión / Registrarse

Prueba de Configuración para SSL

Verifique la instalación de su certificado para detectar problemas y vulnerabilidades de SSL.