Google、Microsoft和Mozilla敦促網站運維人員更換SHA–1認證
繼去年宣布了 SHA–1 棄用計劃之后,近期 Google、Microsoft 和 Mozilla 給出了從各自的旗艦瀏覽器產品中移除 SHA-1 認證支持的詳細時間表。
即將在 2017 年 1 月底發布到穩定通道的 Chrome 56 將不再信任任何來自公共認證機構的 SHA-1 認證,對現有的 SHA-1 認證會給出警告。但是對于那些在企業內部使用的私有 PKI,Chrome 將會繼續提供 SHA-1 支持,因為這些 PKI 使用 EnableSha1ForLocalAnchors 策略,依賴底層的操作系統提供 SHA-1 支持。
Firefox 將在 Firefox 51 中停止信任 SHA-1 簽名認證。當前 Firefox 51 正處于開發版本階段,計劃于 2017 年 1 月發布。為評估移除 SHA-1 簽名認證對真實使用情況的影響,Mozilla 在 2016 年 11 月初著手在部分 beta 用戶中開展移除 SHA-1 的 beta 測試。Firefox 默認使用手動安裝的認證。
Mircosoft Edge 和 Internet Explorer 11 瀏覽器將于 2017 年 2 月 14 日停止加載使用 SHA-1 認證的網站,同時讓用戶決定是否忽視無效認證的警告并依然繼續訪問該網站。同樣,手動安裝的或自簽名的 SHA-1 認證將不會受到影響。
Safari
Safari 的提供商 Apple 也開始逐步停止使用 SHA-1 和 3DES 這類被認為是不安全的算法。在最新版本的 macOS 中已經可以看到,對于 SHA-1 簽名認證的網站,Safari 瀏覽器將不再顯示那個原有的綠色掛鎖標志。在 Sierra 的發行說明中也建議應盡快停止使用 SHA-1,但是并未給出更多的細節。
雖然移除 SHA-1 支持早已進入倒計時階段,但是安全公司 Venafi 的研究人員發現,在一千一百萬個可訪問的網站中,有 35% 的網站依然在使用 SHA-1 認證。
我們的分析結果清晰地表明,雖然很多最熱門的網站已經移除了 SHA-1 認證,但是仍有大部分網站在使用 SHA-1 認證。據 Netcraft 在 2016 年 9 月所做的 Web 服務器調查顯示,當前有超過一億七千三百萬的活躍網站。從我們的分析結果推斷,其中可能至少會有六千一百萬個網站依然在使用這類認證。
早在 11 年前,SHA-1 加密算法就被發現是脆弱的,近期的發現進一步表明SHA-1 比我們之前想象的還要脆弱。這主要是因為 GPU 的最新進展使得碰撞攻擊在不久的將來成為可能。
逐步停止對 SHA-1 支持的決策最早是由 Google 在 2014 年末提出的,很快 Mozilla 也跟進,之后是 Microsoft。在 2015 年中期,這些公司雄心勃勃移除 SHA-1 計劃曾被推遲。主要是考慮到現在有很多不支持新算法的老設備,它們的 Web 訪問會因此被切斷。
對于網站的運營人員而言,檢查一個網站是否正在使用基于 SHA-1 的認證并非難事。
來自: InfoQ