三大浏览器敦促网站运维人员更换 SHA–1 认证
继去年宣布了SHA–1弃用计划之后,近期Google、Microsoft和Mozilla给出了从各自的旗舰浏览器产品中移除SHA-1认证支持的详细时间表。
即将在2017年1月底发布到稳定通道的Chrome 56将不再信任任何来自公共认证机构的SHA-1认证,对现有的SHA-1认证会给出警告。但是对于那些在企业内部使用的私有PKI,Chrome将会继续提供SHA-1支持,因为这些PKI使用EnableSha1ForLocalAnchors策略,依赖底层的操作系统提供SHA-1支持。
Firefox将在Firefox 51中停止信任SHA-1签名认证。当前Firefox 51正处于开发版本阶段,计划于2017年1月发布。为评估移除SHA-1签名认证对真实使用情况的影响,Mozilla在2016年11月初着手在部分beta用户中开展移除SHA-1的beta测试。Firefox默认使用手动安装的认证。
Mircosoft Edge和Internet Explorer 11浏览器将于2017年2月14日停止加载使用SHA-1认证的网站,同时让用户决定是否忽视无效认证的警告并依然继续访问该网站。同样,手动安装的或自签名的SHA-1认证将不会受到影响。
Safari
Safari的提供商Apple也开始逐步停止使用SHA-1和3DES这类被认为是不安全的算法。在最新版本的macOS中已经可以看到,对于SHA-1签名认证的网站,Safari浏览器将不再显示那个原有的绿色挂锁标志。在Sierra的发行说明中也建议应尽快停止使用SHA-1,但是并未给出更多的细节。
虽然移除SHA-1支持早已进入倒计时阶段,但是安全公司Venafi的研究人员发现,在一千一百万个可访问的网站中,有35%的网站依然在使用SHA-1认证。
我们的分析结果清晰地表明,虽然很多最热门的网站已经移除了SHA-1认证,但是仍有大部分网站在使用SHA-1认证。据Netcraft在2016年9月所做的Web服务器调查显示,当前有超过一亿七千三百万的活跃网站。从我们的分析结果推断,其中可能至少会有六千一百万个网站依然在使用这类认证。
早在11年前,SHA-1加密算法就被发现是脆弱的,近期的发现进一步表明SHA-1比我们之前想象的还要脆弱。这主要是因为GPU的最新进展使得碰撞攻击在不久的将来成为可能。
逐步停止对SHA-1支持的决策最早是由Google在2014年末提出的,很快Mozilla 也跟进,之后是Microsoft。在2015年中期,这些公司雄心勃勃移除SHA-1计划曾被推迟。主要是考虑到现在有很多不支持新算法的老设备,它们的Web访问会因此被切断。
对于网站的运营人员而言,检查一个网站是否正在使用基于SHA-1的认证并非难事。
查看英文原文:Google, Microsoft, and Mozilla Urge Site Operators to Replace SHA–1 Certificates
分类
评论
日志
友情链接
推荐
存档Archives
- 2018年4月(16)
- 2018年3月(33)
- 2018年2月(6)
- 2018年1月(41)
- 2017年12月(10)
- 2017年11月(27)
- 2017年10月(17)
- 2017年9月(17)
- 2017年8月(11)
- 2017年7月(20)
- 2017年6月(12)
- 2017年5月(31)
- 2017年4月(12)
- 2017年3月(26)
- 2017年2月(13)
- 2017年1月(21)
- 2016年12月(21)
- 2016年11月(24)
- 2016年10月(23)
- 2016年9月(12)
- 2016年8月(23)
- 2016年7月(14)
- 2016年6月(10)
- 2016年5月(7)
- 2016年4月(3)
- 2016年3月(9)
- 2016年2月(4)
- 2016年1月(6)
- 2015年12月(9)
- 2015年11月(7)
- 2015年10月(5)
- 2015年9月(8)
- 2015年8月(3)
- 2015年6月(2)
- 2015年4月(1)
- 2015年3月(1)
- 2015年1月(1)
- 2014年10月(1)
- 2014年9月(1)
- 2014年8月(1)
- 2014年7月(2)
- 2014年6月(3)
- 2014年5月(7)
- 2014年4月(10)
- 2014年3月(5)
- 2014年2月(13)
- 2014年1月(6)
- 2013年12月(8)
- 2013年11月(16)
- 2013年10月(13)
- 2013年9月(20)
- 2013年8月(31)
- 2013年7月(18)
- 2013年6月(76)
- 2013年5月(49)
- 2013年4月(33)
- 2013年3月(55)
- 2013年2月(44)
- 2013年1月(98)
- 2012年12月(84)
- 2012年11月(40)
- 2012年10月(16)
- 2012年9月(59)
- 2012年8月(123)
- 2012年7月(257)
- 2012年6月(207)
- 2012年5月(49)
- 2012年4月(24)
- 2012年3月(48)
- 2012年2月(13)
发表评论: