Google planlegger å trekke tilbake SHA-1-sertifikater - og det kan være raskere enn forventet.
SHA-1 - På vei mot gravplassen
SHA-1s død har vært sikkert i et tiår - det ble vist seg å være teoretisk sårbart for angrep allerede i 2005. Gjeldende planer utarbeidet av CA / B Forum (bransjens bransjeforening) vil stoppe etableringen av nye SHA-1-sertifikater. fra 1. januar 2016 og avskaffer all bruk av SHA-1-sertifikat innen 1. januar 2017.
Nyere studier antyder nå at SHA-1 vil bli kompromittert mye raskere - og rimeligere - enn tidligere antatt. Google og andre teknologiselskaper vurderer dermed å øke pensjonsfristene. (Et utkast til CA / B-forumforslag om å tillate begrenset utstedelse av SHA-1-sertifikat til slutten av 2016 ble også lagt til ro - sikkerhetskognoscenti vil ha SHA-1 av styret så snart det er mulig.)
Googles akselererte pensjonsplan
Google planlegger en totrinns prosess. I den første fasen (allerede på gang) er SHA-1-sertifikater som Chrome støter på, markert med advarsler og visningstegn. Den andre - fullstendig avvisning av alle SHA-1-sertifikater - kan fremmes seks måneder til 1. juli 2016.
Både Mozilla og Microsoft vurderer også denne akselererte fristen for nettleserne, mens CloudFlare og Facebook er det sette opp løsninger for den lille prosentandelen av brukerne deres som ikke har noe alternativ til SHA-1-sertifikater.
Kom tilbake med SSL.com - vi holder deg oppdatert når denne historien utvikler seg.
