Dlaczego Google ponagla Internet do usuwania SHA-1

Zgodnie z zapowiedziami, algorytm szyfrujący SHA-1 będzie stopniowo wyłączany, aż zastąpi go algorytm SHA-2. Z tego względu Google zapowiedział, że strony, które go używają, otrzymają ostrzeżenia zabezpieczeń, aby zmobilizować ich właścicieli do zastosowania odpowiedniej ochrony.

Szacuje się, że obecnie około 90% stron zabezpieczonych certyfikatami SSL używa algorytmu szyfrującego SHA-1.

Problem polega na tym, że algorytm SHA-1 z roku na rok staje się coraz słabszy. Według przewidywań ekspertów, „zorganizowanej cyberprzestępczości” uda się go sfałszować i wykorzystywać jego słabość w atakach w przeciągu 3-4 lat.

Jedynym sposobem uniknięcia tego jest zaprzestanie wspierania certyfikatów SSL z SHA-1 przez przeglądarki, a w konsekwencji wycofanie go z użycia i zastąpienie go nowym, mocnym algorytmem SHA-2.

Przeglądarki kontra SHA-1

Jako pierwszy plan zastąpienia algorytmu SHA-1 na SHA-2 ogłosił Microsoft. Windows i Internet Explorer przestaną wspierać certyfikaty z SHA-1 z dniem 01.01.2017 roku. Na to samo zdecydowała się Mozilla. Plan działań ma także Opera. Safari nie ogłosiła jeszcze swojego stanowiska w tej sprawie.

Ze wszystkich dostawców przeglądarek jedynie Google zapowiedział, że będzie ostrzegał użytkowników przed niebezpieczeństwem płynącym ze stron, które chroni certyfikat SSL z SHA-1. Pierwsza fala alarmów właśnie się rozpoczęła, przyspieszy przed końcem roku i przez kolejnych 6 miesięcy będzie bardzo intensywna.

W 2016 roku strony z certyfikatami SSL z SHA-1 będą odpowiednio oznaczone.

Czeka nas zalew ostrzeżeń w Chrome

Posunięcie Google’a jest bardzo odważne, ponieważ wiąże się z dużym ryzykiem. Głównym powodem, dla którego tak trudno dostawcom przeglądarek odejść od wspierania algorytmu SHA-1 jest to, że kiedy przeglądarka wyświetla ostrzeżenie o zabezpieczeniach w przypadku kilku kolejno otwieranych stron, zniecierpliwiony użytkownik może przełączyć się na inną przeglądarkę. Google prawdopodobnie zdecydował się na ten krok dlatego, ponieważ założył, że użytkownicy mają do Chrome’a duże zaufanie i lubią tę przeglądarkę na tyle, aby wytrzymać niedogodność wynikającą z pierwszej fali alarmów, a więc zalew ostrzeżeń.

Dlaczego jeszcze nie wymieniliśmy certyfikatów?

Zarówno dla osób fizycznych, jak i firm, każda zmiana jest trudna i dlatego odkładana jest w czasie. Jednak dzięki wymianie certyfikatu SSL z SHA-1 na SHA-2, lepiej zadbamy nie tylko o bezpieczeństwo swojego biznesu, ale także własny wizerunek.

– Edukowanie o potrzebie korzystania z certyfikatów SSL z bezpiecznym algorytmem SHA-2 i obowiązek przeprowadzenia klientów przez ten proces w jak najmniej dokuczliwy i czasochłonny sposób spoczywa na Centrum Certyfikacji

– mówi Mariusz Janczak, Menedżer Marketingu Produktowego z Unizeto Technologies.

Źródło: Unizeto Technologies