Certyfikaty SHA-1 są coraz bardziej niepewne, więc działania CloudFlare i Facebooka mające na celu utrzymanie obsługi SHA-1 mogą wydawać się sprzeczne z intuicją. Jednak obie firmy argumentują, że zagrożony jest bezpieczny dostęp milionów użytkowników.
MNIEJ I MNIEJ BEZPIECZNY ALGORYTM
Połączenia Bezpieczny algorytm mieszania 1 (SHA-1) jest używany do podpisywania certyfikatów od 1995 r. i jest od dawna oczekiwany na emeryturę. Łamanie SHA-1 umożliwia czarnym kapeluszom podpisywanie fałszywych podpisów na ich własnych certyfikatach, a połączenia HTTPS wykorzystujące te fałszywe certyfikaty wydają się całkowicie legalne dla nieostrożnych gości. Od jakiegoś czasu wiadomo, że SHA-1 jest podatny na włamania ze strony atakujących dysponujących odpowiednimi zasobami (czytaj: sponsorowanymi przez państwo), ale moc obliczeniowa, która to kosztuje, była poza zasięgiem większości atakujących - do niedawna. ZA test w październiku 2015 r wskazał, że SHA-1 można teraz złamać za mniej więcej cenę Porsche Panamera - dobrze w ramach budżetu wielu organizacji przestępczych.
SHA-2 - WIOSNA NAPRZÓD
Aktualizacja do SHA-2 Certyfikaty i wycofywanie SHA-1 zostały silnie poparte przez stalwarts branżowe, takie jak Mozilla, Google i Microsoft. Żaden urząd certyfikacji zgodnie z najlepszymi praktykami branżowymi nie wyda certyfikatów SHA-1 po 31 grudnia 2015 r., A wszystkie główne przeglądarki odrzucą połączenia SHA-1 do 1 stycznia 2017 r. (Jeśli nie wcześniej).
Przejście na certyfikaty SHA-2 zapewni silniejszy i bezpieczniejszy internet w dłuższej perspektywie, ale w ekosystemie z ponad trzema miliardami użytkowników przejście na emeryturę SHA-1 z pewnością spowoduje ból głowy. Znaczna liczba użytkowników korzystających ze starszego lub starszego oprogramowania klienckiego (szczególnie użytkownicy w krajach rozwijających się) stanie przed trudnym wyborem: połączenia HTTPS, które używają SHA-1 - lub w ogóle nie będą mieć zabezpieczeń.
SHA-1 - UPADEK Z POWROTEM
Dlatego właśnie Facebook i CloudFlare wdrażają swoje systemy rezerwowe SHA-1, zaprojektowane do automatycznego udostępniania wersji swoich witryn z włączonym HTTPS i podpisem SHA-1 odwiedzającym wykrytym przy użyciu starszej technologii. Według matematyki CloudFlare, SHA-2 zabezpiecza połączenia z 98.31% przeglądarek na świecie - ale pozostałe 1.69% nadal reprezentuje około 37 milionów ludzi, skoncentrowanych w biedniejszych i bardziej represyjnych częściach świata i korzystających z Internetu za pomocą mniej zaawansowanych technologii.
Deklarowanym celem obu firm jest obserwowanie najlepszych praktyk branżowych bez rezygnacji z tego segmentu Internetu ograniczonego do połączeń SHA-1. W tym celu CloudFlare zaproponował również utworzenie zupełnie nowej kategorii walidacji dla certyfikatów cyfrowych poprzez dodanie specyficznego dla SHA-1 Sprawdzanie oryginalności (LV) do istniejącego kanonu Domena, organizacja i rozszerzona walidacja rodzaje.
SSL.com to zrobi Zdecydowanie informuję o postępach w realizacji tej propozycji.
