O Google planeja retirar os certificados SHA-1 - e pode ser mais cedo do que o previsto.
SHA-1 - Rumo ao cemitério
O fim do SHA-1 é certo há uma década - mostrou-se teoricamente vulnerável a ataques já em 2005. Os planos atuais elaborados pelo CA / B Forum (a associação comercial da indústria) vão interromper a criação de novos certificados SHA-1 a partir de 1º de janeiro de 2016 e descontinuar o uso de todos os certificados SHA-1 até 1º de janeiro de 2017.
Estudos recentes agora sugerem que o SHA-1 será comprometido muito mais cedo - e mais acessível - do que se pensava anteriormente. O Google e outras empresas de tecnologia estão, portanto, considerando aumentar seus prazos de aposentadoria. (Um rascunho da proposta do Fórum CA / B para permitir a emissão limitada do certificado SHA-1 até o final de 2016 também foi deixada de lado - os especialistas em segurança querem o SHA-1 fora do conselho o mais rapidamente possível.)
Plano de aposentadoria acelerada do Google
Google planeja um processo em duas etapas. No primeiro estágio (já em andamento), os certificados SHA-1 encontrados pelo Chrome são sinalizados com mensagens de aviso e dicas de exibição. A segunda - rejeição total de todos os certificados SHA-1 - pode ser antecipada em seis meses, até 1º de julho de 2016.
Tanto a Mozilla quanto a Microsoft também estão considerando esse prazo acelerado para seus navegadores, enquanto CloudFlare e Facebook são configurando soluções alternativas para a pequena porcentagem de usuários que não têm alternativa aos certificados SHA-1.
Verifique novamente em SSL.com - nós o manteremos atualizado conforme esta história se desenvolve.
