Dlaczego Google ponagla Internet do usuwania SHA-1?

Zgodnie z zapowiedziami, algorytm szyfrujący SHA-1 będzie stopniowo wyłączany, aż zastąpi go algorytm SHA-2. Z tego względu Google zapowiedział, że strony, które go używają, otrzymają ostrzeżenia zabezpieczeń, aby zmobilizować ich właścicieli do zastosowania odpowiedniej ochrony. Szacuje się, że obecnie około 90% stron zabezpieczonych certyfikatami SSL używa algorytmu szyfrującego SHA-1.

 Problem polega na tym, że algorytm SHA-1 z roku na rok staje się coraz słabszy. Według przewidywań ekspertów, „zorganizowanej cyberprzestępczości” uda się go sfałszować i wykorzystywać jego słabość w atakach w przeciągu 3-4 lat. Jedynym sposobem uniknięcia tego jest zaprzestanie wspierania certyfikatów SSL z SHA-1 przez przeglądarki, a w konsekwencji wycofanie go z użycia i zastąpienie go nowym, mocnym algorytmem SHA-2.

 

Przeglądarki kontra SHA-1

Jako pierwszy plan zastąpienia algorytmu SHA-1 na SHA-2 ogłosił Microsoft. Windows i Internet Explorer przestaną wspierać certyfikaty z SHA-1 z dniem 01.01.2017 roku. Na to samo zdecydowała się Mozilla. Plan działań ma także Opera. Safari nie ogłosiła jeszcze swojego stanowiska w tej sprawie. Ze wszystkich dostawców przeglądarek jedynie Google zapowiedział, że będzie ostrzegał użytkowników przed niebezpieczeństwem płynącym ze stron, które chroni certyfikat SSL z SHA-1. Pierwsza fala alarmów właśnie się rozpoczęła, przyspieszy przed końcem roku i przez kolejnych 6 miesięcy będzie bardzo intensywna. W 2016 roku strony z certyfikatami SSL z SHA-1 będą odpowiednio oznaczone.

 

Czeka nas zalew ostrzeżeń w Chrome

Posunięcie Google’a jest bardzo odważne, ponieważ wiąże się z dużym ryzykiem. Głównym powodem, dla którego tak trudno dostawcom przeglądarek odejść od wspierania algorytmu SHA-1 jest to, że kiedy przeglądarka wyświetla ostrzeżenie
o zabezpieczeniach w przypadku kilku kolejno otwieranych stron, zniecierpliwiony użytkownik może przełączyć się na inną przeglądarkę. Google prawdopodobnie zdecydował się na ten krok dlatego, ponieważ założył, że użytkownicy mają do Chrome’a duże zaufanie i lubią tę przeglądarkę na tyle, aby wytrzymać niedogodność wynikającą z pierwszej fali alarmów, a więc zalew ostrzeżeń.

 

Dlaczego jeszcze nie wymieniliśmy certyfikatów?

Zarówno dla osób fizycznych, jak i firm, każda zmiana jest trudna i dlatego odkładana jest w czasie. Jednak dzięki wymianie certyfikatu SSL z SHA-1 na SHA-2, lepiej zadbamy nie tylko o bezpieczeństwo swojego biznesu, ale także własny wizerunek.

Edukowanie o potrzebie korzystania z certyfikatów SSL z bezpiecznym algorytmem SHA-2 i obowiązek przeprowadzenia klientów przez ten proces w jak najmniej dokuczliwy i czasochłonny sposób spoczywa na Centrum Certyfikacjimówi Mariusz Janczak, Menedżer Marketingu Produktowego z Unizeto Technologies.