I certificati SHA-1 sono sempre più insicuri, quindi le mosse di CloudFlare e Facebook per mantenere il supporto SHA-1 possono sembrare contro-intuitive. Tuttavia, entrambe le società sostengono che è in gioco l'accesso sicuro di milioni di utenti.
UN ALGORITMO MENO E MENO SICURO
Le Algoritmo di hash sicuro 1 (SHA-1) è in uso per la firma dei certificati dal 1995 ed è da tempo in ritardo per il ritiro. Cracking SHA-1 consente ai cappelli neri di firmare firme false sui propri certificati e le connessioni HTTPS che utilizzano questi certificati fraudolenti sembrano completamente legittime per i visitatori incauti. SHA-1 è noto da tempo per essere vulnerabile al compromesso da parte di aggressori con risorse adeguate (leggi: sponsorizzato dallo stato), ma la potenza di calcolo che questo costa era fuori dalla portata della maggior parte degli aggressori, fino a poco tempo fa. UN test a ottobre 2015 ha indicato che SHA-1 può ora essere decifrato per circa il prezzo di una Porsche Panamera, ben all'interno del budget di molte organizzazioni criminali.
SHA-2 - MOLLA AVANTI
Aggiornamento a SHA-2 certificati e ritiro SHA-1 è stato fortemente incoraggiato da esperti del settore come Mozilla, Google e Microsoft. Nessuna autorità di certificazione a seguito delle migliori pratiche del settore rilascerà certificati SHA-1 dopo il 31 dicembre 2015 e tutti i principali browser rifiuteranno le connessioni SHA-1 entro il 1 gennaio 2017 (in caso contrario prima).
Il passaggio ai certificati SHA-2 fornirà un Internet più forte e sicuro a lungo termine, ma in un ecosistema con oltre tre miliardi di utenti il ritiro di SHA-1 è destinato a causare qualche mal di testa. Un numero significativo di utenti che utilizzano software client meno recenti o legacy (in particolare gli utenti nel mondo in via di sviluppo) si troveranno di fronte a una scelta netta: connessioni HTTPS che utilizzano SHA-1 o nessuna sicurezza.
SHA-1 - CADUTA INDIETRO
Ecco perché nello studio legale Facebook ed CloudFlare stanno implementando i loro sistemi di fallback SHA-1, progettati per fornire automaticamente versioni abilitate per HTTPS e firmate SHA-1 dei loro siti ai visitatori rilevati utilizzando una tecnologia precedente. Secondo i calcoli di CloudFlare, SHA-2 protegge le connessioni al 98.31% dei browser del mondo, ma il restante 1.69% rappresenta ancora circa 37 milioni di persone, concentrate nelle parti più povere e repressive del mondo e che accedono a Internet attraverso una tecnologia meno avanzata.
L'obiettivo dichiarato di entrambe le società è osservare le migliori pratiche del settore senza abbandonare quel segmento di Internet limitato alle connessioni SHA-1. A tal fine, CloudFlare ha anche proposto la creazione di una categoria completamente nuova di convalida per i certificati digitali aggiungendo uno specifico SHA-1 Convalida legacy (LV) categoria al canone esistente di Dominio, organizzazione e convalida estesa tipi.
SSL.com lo farà decisamente tenervi informati sullo stato di avanzamento di questa proposta.
