Google припиняє підтримку SHA-1 сертифікатів слідом за Mozilla і Microsoft



Не так давно корпорація Microsoft оголосила про швидке завершення підтримки TLS і SSL сертифікатів, де використовується алгоритм хешування SHA-1. Перед цим аналогічну заяву зробив і керівництво Mozilla. Зараз і корпорація Google вирішила вступити таким же чином, припинивши підтримку SHA-1 до 1 січня 2017 року.

Проблема полягає в тому, що в найближчому майбутньому не буде жодних проблем з підбором колізій для такого алгоритму хешування. Обчислювальна техніка стає все потужнішою, хмарні сервіси розвиваються і подібна операція вже не буде занадто дорогою для зловмисника. Зараз корпорація Google вже почала позначати сайти з таким сертифікатом як небезпечні.

На думку експертів, висловленою ще в 2012 році, зловмисники зможуть підробляти відповідні сертифікати вже в 2018 році. Немає ніякої гарантії, що це не станеться раніше. Тому великі телекомунікаційні компанії вирішили поступити мудро — позбутися від проблеми ще до того, як вона стала проблемою.

І вчасно — більш нові дослідження показують, що вартість підробки сертифіката значно знижується вже зараз. Використовуючи хмарні сервіси на зразок Amazon EC2, шахраї можуть за відносно невеликі гроші створювати підроблені сертифікати SHA-1. У 2017 році це вже буде реальна загроза. Саме тому більшість компаній планує позбавитися від підтримки такого роду сертифікатів до 1 січня 2017 року.

Також всі три згадані компанії припинять підтримувати алгоритм шифрування RC4 в січні або лютому наступного року.

У січні 2016 року нова версія Chrome (Chrome 48) буде показувати помилку для сайтів з SHA-1 сертифікатами, як і показано в анонсі.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.