Google prevede di ritirare i certificati SHA-1 e potrebbe essere prima del previsto.
SHA-1 - Dirigendosi verso il cimitero
La fine di SHA-1 è certa da un decennio: si è dimostrato teoricamente vulnerabile agli attacchi già nel 2005. Gli attuali piani elaborati dal CA / B Forum (l'associazione di categoria del settore) interromperanno la creazione di nuovi certificati SHA-1 a partire dal 1 ° gennaio 2016 e deprecare l'utilizzo di tutti i certificati SHA-1 entro il 1 ° gennaio 2017.
Studi recenti suggeriscono ora che SHA-1 sarà compromesso molto prima - e in modo più economico - di quanto si pensasse in precedenza. Google e altre società tecnologiche stanno quindi valutando la possibilità di aumentare le scadenze per il pensionamento. (Una bozza di proposta del Forum CA / B per consentire l'emissione limitata di certificati SHA-1 fino alla fine del 2016 è stata anche messa a tacere - gli esperti di sicurezza vogliono che SHA-1 venga rimosso dal consiglio il prima umanamente possibile.)
Piano di pensionamento accelerato di Google
Google pianifica un processo in due fasi. Nella prima fase (già in corso) i certificati SHA-1 incontrati da Chrome vengono contrassegnati con messaggi di avviso e segnali di visualizzazione. Il secondo - rifiuto totale di tutti i certificati SHA-1 - può essere anticipato di sei mesi, al 1 ° luglio 2016.
Sia Mozilla che Microsoft stanno anche considerando questa scadenza accelerata per i loro browser, mentre CloudFlare e Facebook lo sono impostazione soluzioni alternative per la piccola percentuale dei loro utenti che non hanno alternative ai certificati SHA-1.
Ricontrolla con SSL.com: ti terremo aggiornato man mano che questa storia si sviluppa.