SHA-1-sertifikater blir stadig mer usikre, så flyttinger fra CloudFlare og Facebook for å opprettholde SHA-1-støtte kan virke kontraintuitive. Imidlertid argumenterer begge selskapene for at sikker tilgang for millioner av brukere står på spill.
EN MINDRE OG MINDRE SIKKER ALGORITM
De Sikker Hash-algoritme 1 (SHA-1) har vært i bruk for sertifikatunderskrivelse siden 1995, og er lenge tilbake til pensjon. Cracking SHA-1 lar svarte hatter signere falske signaturer til sine egne sertifikater, og HTTPS-forbindelser ved hjelp av disse falske sertifikatene ser helt legitime ut for uforsiktige besøkende. SHA-1 har vært kjent for å være sårbar for kompromisser av godt ressurssterke (les: statsstøttede) angripere i noen tid, men datakraften som koster, var utenfor rekkevidde for de fleste angripere - inntil nylig. EN test i oktober 2015 antydet at SHA-1 nå kan knekkes for rundt prisen på en Porsche Panamera - godt innenfor budsjettet til mange kriminelle organisasjoner.
SHA-2 - VÅRE FREM
Oppgrader til SHA-2 sertifikater og pensjonering av SHA-1 har blitt sterkt oppmuntret av bransjestatører som Mozilla, Google og Microsoft. Ingen sertifikatmyndighet som følger bransjens beste praksis vil utstede SHA-1-sertifikater etter 31. desember 2015, og alle større nettlesere vil avvise SHA-1-tilkoblinger innen 1. januar 2017 (hvis ikke raskere).
Å flytte til SHA-2-sertifikater vil gi et sterkere og sikrere internett på lengre sikt, men i et økosystem med over tre milliarder brukere vil SHA-1 pensjon gi noen hodepine. Et betydelig antall brukere som bruker eldre eller eldre klientprogramvare (spesielt brukere i utviklingsland) vil bli stilt overfor et sterkt valg: HTTPS-tilkoblinger som bruker SHA-1 - eller ingen sikkerhet i det hele tatt.
SHA-1 - FALL TILBAKE
Dette er grunnen Facebook og CloudFlare implementerer SHA-1 reservesystemer, designet for automatisk å betjene HTTPS-aktiverte, SHA-1 signerte versjoner av nettstedene sine til besøkende oppdaget ved hjelp av eldre teknologi. Ved matematikk fra CloudFlare sikrer SHA-2 forbindelser til 98.31 prosent av verdens nettlesere - men de resterende 1.69% representerer fortsatt rundt 37 millioner mennesker, konsentrert i fattige og mer undertrykkende deler av verden, og får tilgang til internett gjennom mindre avansert teknologi.
Det oppgitte målet for begge selskaper er å overholde bransjens beste praksis uten å forlate det segmentet av internett begrenset til SHA-1-tilkoblinger. For dette formål har CloudFlare også foreslått å opprette en helt ny kategori for validering for digitale sertifikater ved å legge til en SHA-1-spesifikk Arv validering (LV) kategori til eksisterende kanon av Domenet, organisasjonen og utvidet validering typer.
SSL.com vil helt sikkert holde deg orientert om fremdriften i dette forslaget.