أصبحت شهادات SHA-1 غير آمنة بشكل متزايد ، لذا فإن التحركات بواسطة CloudFlare و Facebook للحفاظ على دعم SHA-1 قد تبدو غير بديهية. ومع ذلك ، تقدم كلتا الشركتين حجة أن الوصول الآمن لملايين المستخدمين على المحك.
خوارزمية أقل أمانًا وأقل أمانًا
• خوارزمية التجزئة الآمنة 1 (SHA-1) قيد الاستخدام لتوقيع الشهادة منذ عام 1995 ، وقد تأخر كثيرًا عن التقاعد. يتيح تكسير SHA-1 للقبعات السوداء التوقيع على توقيعات مزيفة على شهاداتهم الخاصة ، وتبدو اتصالات HTTPS التي تستخدم هذه الشهادات الاحتيالية شرعية تمامًا للزوار غير الحذرين. من المعروف أن SHA-1 عرضة للتهديد من قبل المهاجمين ذوي الموارد الجيدة (اقرأ: ترعاهم الدولة) لبعض الوقت ، لكن قوة الحوسبة التي تكلفتها كانت بعيدة المنال بالنسبة لمعظم المهاجمين - حتى وقت قريب. أ اختبار في أكتوبر 2015 أشار إلى أنه يمكن الآن اختراق SHA-1 مقابل سعر بورش باناميرا - في حدود ميزانية العديد من المنظمات الإجرامية.
SHA-2 - الربيع للأمام
الترقية إلى SHA-2 وقد تم تشجيع الشهادات وتقاعد SHA-1 بشدة من قبل الصناعة القوية مثل موزيلا وجوجل ومايكروسوفت. لن تصدر أي هيئة تصديق تتبع أفضل الممارسات الصناعية شهادات SHA-1 بعد 31 ديسمبر 2015 ، وسوف ترفض جميع المتصفحات الرئيسية اتصالات SHA-1 بحلول 1 يناير 2017 (إن لم يكن عاجلا).
سيوفر الانتقال إلى شهادات SHA-2 إنترنت أقوى وأكثر أمانًا على المدى الطويل ، ولكن في نظام بيئي يضم أكثر من ثلاثة مليارات مستخدم ، لا بد أن يتسبب تقاعد SHA-1 في حدوث بعض الصداع. سيواجه عدد كبير من المستخدمين الذين يستخدمون برامج العميل القديمة أو القديمة (خاصة المستخدمين في العالم النامي) خيارًا صارمًا: اتصالات HTTPS التي تستخدم SHA-1 - أو لا يوجد أمان على الإطلاق.
SHA-1 - السقوط
هذا هو السبب فيسبوك و كلودفلاري يقومون بتنفيذ أنظمة SHA-1 الاحتياطية الخاصة بهم ، والمصممة لتقديم إصدارات SHA-1 الممكّنة لـ HTTPS تلقائيًا من مواقعهم للزوار الذين تم اكتشافهم باستخدام تقنية قديمة. وفقًا لرياضيات CloudFlare ، يؤمن SHA-2 الاتصالات بـ 98.31٪ من متصفحات العالم - لكن نسبة 1.69٪ المتبقية لا تزال تمثل حوالي 37 مليون شخص ، يتركزون في الأجزاء الأكثر فقرًا وقمعية من العالم ، والوصول إلى الإنترنت من خلال تقنية أقل تقدمًا.
الهدف المعلن لكلتا الشركتين هو مراقبة أفضل الممارسات الصناعية دون التخلي عن هذا الجزء من الإنترنت الذي يقتصر على اتصالات SHA-1. تحقيقًا لهذه الغاية ، اقترحت CloudFlare أيضًا إنشاء فئة جديدة تمامًا للتحقق من صحة الشهادات الرقمية عن طريق إضافة SHA-1 محدد التحقق من التركة (LV) فئة الكنسي الحالي المجال والتنظيم والتحقق الموسع أنواع.
سوف SSL.com قطعا تبقيك على علم بسير هذا الاقتراح.
