Facebook, CloudFlare e SHA-1 Fallback

Os certificados SHA-1 são cada vez mais inseguros; portanto, as ações do CloudFlare e do Facebook para manter o suporte ao SHA-1 podem parecer contra-intuitivas.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

Os certificados SHA-1 são cada vez mais inseguros, portanto, movimentos do CloudFlare e do Facebook para manter o suporte SHA-1 podem parecer contra-intuitivos. No entanto, ambas as empresas afirmam que o acesso seguro de milhões de usuários está em jogo.

UM ALGORITMO MENOS E MENOS SEGURO

O Algoritmo de hash seguro 1 (SHA-1) está em uso para assinatura de certificados desde 1995, e sua aposentadoria está muito atrasada. O cracking do SHA-1 permite que chapéus negros assinem assinaturas falsas para seus próprios certificados, e conexões HTTPS usando esses certificados fraudulentos parecem completamente legítimas para visitantes incautos. O SHA-1 é conhecido por ser vulnerável ao comprometimento de invasores com bons recursos (leia-se: patrocinado pelo estado) há algum tempo, mas o poder de computação que isso custa estava fora do alcance da maioria dos invasores - até recentemente. UMA teste em outubro de 2015 indicou que o SHA-1 agora pode ser quebrado por cerca do preço de um Porsche Panamera - bem dentro do orçamento de muitas organizações criminosas.

SHA-2 - MOLA PARA FRENTE

atualizando para o SHA-2 certificados e desativação do SHA-1 foi fortemente incentivado por firmas do setor como Mozilla, Google e Microsoft. Nenhuma autoridade de certificação que segue as melhores práticas do setor emitirá certificados SHA-1 após 31 de dezembro de 2015, e todos os principais navegadores rejeitarão as conexões SHA-1 até 1º de janeiro de 2017 (se não houver mais cedo).

A mudança para os certificados SHA-2 proporcionará uma internet mais forte e segura no longo prazo, mas em um ecossistema com mais de três bilhões de usuários, a aposentadoria do SHA-1 deve causar algumas dores de cabeça. Um número significativo de usuários que usam software cliente mais antigo ou legado (especialmente usuários no mundo em desenvolvimento) se deparará com uma escolha difícil: conexões HTTPS que usam SHA-1 - ou nenhuma segurança.

SHA-1 - FALL BACK

É por isso Facebook e a CloudFlare estão implementando seus sistemas de fallback SHA-1, projetados para servir automaticamente versões habilitadas para HTTPS e assinadas por SHA-1 de seus sites para visitantes detectados usando tecnologia mais antiga. Pela matemática da CloudFlare, o SHA-2 assegura conexões para 98.31% dos navegadores do mundo - mas o 1.69% restante ainda representa cerca de 37 milhões de pessoas, concentradas em partes mais pobres e repressivas do mundo, e acessando a internet por meio de tecnologia menos avançada.

O objetivo declarado de ambas as empresas é observar as melhores práticas da indústria sem abandonar aquele segmento da Internet limitado às conexões SHA-1. Para este fim, CloudFlare também propôs a criação de uma categoria inteiramente nova de validação para certificados digitais, adicionando um SHA-1 específico Validação herdada (LV) para o cânone existente de Domínio, Organização e Validação Estendida tipos.

SSL.com irá definitivamente mantenha-o informado sobre o andamento desta proposta.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.