Facebook, CloudFlare og SHA-1 Fallback

SHA-1-sertifikater blir stadig mer usikre, så flyttinger fra CloudFlare og Facebook for å opprettholde SHA-1-støtte kan virke kontraintuitive. Imidlertid argumenterer begge selskapene for at sikker tilgang for millioner av brukere står på spill.

EN MINDRE OG MINDRE SIKKER ALGORITM

De Sikker Hash-algoritme 1 (SHA-1) har vært i bruk for sertifikatunderskrivelse siden 1995, og er lenge tilbake til pensjon. Cracking SHA-1 lar svarte hatter signere falske signaturer til sine egne sertifikater, og HTTPS-forbindelser ved hjelp av disse falske sertifikatene ser helt legitime ut for uforsiktige besøkende. SHA-1 har vært kjent for å være sårbar for kompromisser av godt ressurssterke (les: statsstøttede) angripere i noen tid, men datakraften som koster, var utenfor rekkevidde for de fleste angripere - inntil nylig. EN test i oktober 2015 antydet at SHA-1 nå kan knekkes for rundt prisen på en Porsche Panamera - godt innenfor budsjettet til mange kriminelle organisasjoner.

SHA-2 - VÅRE FREM

Oppgrader til SHA-2 sertifikater og pensjonering av SHA-1 har blitt sterkt oppmuntret av bransjestatører som Mozilla, Google og Microsoft. Ingen sertifikatmyndighet som følger bransjens beste praksis vil utstede SHA-1-sertifikater etter 31. desember 2015, og alle større nettlesere vil avvise SHA-1-tilkoblinger innen 1. januar 2017 (hvis ikke raskere).

Å flytte til SHA-2-sertifikater vil gi et sterkere og sikrere internett på lengre sikt, men i et økosystem med over tre milliarder brukere vil SHA-1 pensjon gi noen hodepine. Et betydelig antall brukere som bruker eldre eller eldre klientprogramvare (spesielt brukere i utviklingsland) vil bli stilt overfor et sterkt valg: HTTPS-tilkoblinger som bruker SHA-1 - eller ingen sikkerhet i det hele tatt.

SHA-1 - FALL TILBAKE

Dette er grunnen Facebook og CloudFlare implementerer SHA-1 reservesystemer, designet for automatisk å betjene HTTPS-aktiverte, SHA-1 signerte versjoner av nettstedene sine til besøkende oppdaget ved hjelp av eldre teknologi. Ved matematikk fra CloudFlare sikrer SHA-2 forbindelser til 98.31 prosent av verdens nettlesere - men de resterende 1.69% representerer fortsatt rundt 37 millioner mennesker, konsentrert i fattige og mer undertrykkende deler av verden, og får tilgang til internett gjennom mindre avansert teknologi.

Det oppgitte målet for begge selskaper er å overholde bransjens beste praksis uten å forlate det segmentet av internett begrenset til SHA-1-tilkoblinger. For dette formål har CloudFlare også foreslått å opprette en helt ny kategori for validering for digitale sertifikater ved å legge til en SHA-1-spesifikk Arv validering (LV) kategori til eksisterende kanon av Domenet, organisasjonen og utvidet validering typer.

SSL.com vil helt sikkert holde deg orientert om fremdriften i dette forslaget.

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.