SHA-1-certifikat blir alltmer osäkra, så flyttningar från CloudFlare och Facebook för att upprätthålla SHA-1-stöd kan verka kontraintuitiva. Men båda företagen gör ett påstående om att säker tillgång för miljoner användare står på spel.
EN MINDRE OCH MINDARE SÄKER ALGORITM
Smakämnen Secure Hash Algoritm 1 (SHA-1) har använts för certifikatsignering sedan 1995 och är försenad för pensionering. Cracking SHA-1 låter svarta hattar underteckna falska signaturer till sina egna certifikat, och HTTPS-anslutningar med dessa bedrägliga certifikat ser helt legitima ut för otillbörliga besökare. SHA-1 har varit känt för att vara sårbart för kompromisser av välresurser (läs: statssponserade) angripare under en tid, men den datorkraft som kostar var utom räckhåll för de flesta angripare - tills nyligen. A test i oktober 2015 indikerade att SHA-1 nu kan knäckas för priset på en Porsche Panamera - väl inom budgeten för många kriminella organisationer.
SHA-2 - VÅR FRAMÅT
Uppgraderar till SHA-2 certifikat och avgående SHA-1 har uppmuntrats starkt av branschledare som Mozilla, Google och Microsoft. Ingen certifikatutfärdare som följer branschens bästa metoder kommer att utfärda SHA-1-certifikat efter den 31 december 2015, och alla större webbläsare avvisar SHA-1-anslutningar senast den 1 januari 2017 (om inte förr).
Att flytta till SHA-2-certifikat kommer att ge ett starkare och säkrare internet på längre sikt, men i ett ekosystem med över tre miljarder användare kommer SHA-1-pension att orsaka viss huvudvärk. Ett stort antal användare som använder äldre eller äldre klientprogramvara (särskilt användare i utvecklingsländerna) kommer att ställas inför ett starkt val: HTTPS-anslutningar som använder SHA-1 - eller ingen säkerhet alls.
SHA-1 - FALL BACK
Det här är varför Facebook och CloudFlare implementerar sina SHA-1 reservsystem, utformade för att automatiskt servera HTTPS-aktiverade, SHA-1-signerade versioner av sina webbplatser till besökare som upptäcks med äldre teknik. Genom CloudFlare's matematik säkerställer SHA-2 anslutningar till 98.31 procent av världens webbläsare - men de återstående 1.69% representerar fortfarande cirka 37 miljoner människor, koncentrerade till fattigare och mer repressiva delar av världen, och har tillgång till internet via mindre avancerad teknik.
Det uttalade målet för båda företagen är att följa branschens bästa praxis utan att överge det segmentet av internet som är begränsat till SHA-1-anslutningar. För detta ändamål har CloudFlare också föreslagit att en helt ny kategori av validering för digitala certifikat skapas genom att lägga till en SHA-1-specifik Äldre validering (LV) -kategorin till den befintliga kanon av Domän, organisation och utvidgad validering typer.
SSL.com kommer definitivt håller dig informerad om framstegen med detta förslag.
