Google planuje wycofać certyfikaty SHA-1 - i może to nastąpić wcześniej niż oczekiwano.
SHA-1 - Kierunek na cmentarz
Upadek SHA-1 był pewny od dekady - wykazano, że teoretycznie jest on podatny na atak już w 2005 roku. Obecne plany przygotowane przez CA / B Forum (branżowe stowarzyszenie branżowe) wstrzymają tworzenie nowych certyfikatów SHA-1 od 1 stycznia 2016 r. i wycofaj wszystkie używane certyfikaty SHA-1 do 1 stycznia 2017 r.
Niedawne badania sugerują, że SHA-1 zostanie zagrożony znacznie wcześniej - i taniej - niż wcześniej sądzono. Dlatego Google i inne firmy technologiczne rozważają przesunięcie terminów przejścia na emeryturę. (Wstępna propozycja forum CA / B, aby zezwolić na ograniczone wydawanie certyfikatów SHA-1 do końca 2016 r. Również została odłożona na bok - znawcy bezpieczeństwa chcą, aby SHA-1 zniknął z tablicy tak szybko, jak to tylko możliwe.)
Przyspieszony plan emerytalny Google
Google planuje proces dwuetapowy. W pierwszym etapie (już w toku) napotkane przez Chrome certyfikaty SHA-1 są oznaczane komunikatami ostrzegawczymi i wyświetlanymi wskazówkami. Drugi - całkowite odrzucenie wszystkich certyfikatów SHA-1 - może zostać przesunięty o sześć miesięcy, do 1 lipca 2016 r.
Zarówno Mozilla, jak i Microsoft również rozważają ten przyspieszony termin dla swoich przeglądarek, podczas gdy CloudFlare i Facebook konfigurowanie obejść dla małego odsetka użytkowników, którzy nie mają alternatywy dla certyfikatów SHA-1.
Sprawdź ponownie na SSL.com - będziemy informować Cię na bieżąco o rozwoju tej historii.
