Data publikacji: 2014-12-17
Oryginalny tytuł wiadomości prasowej: Dlaczego Google ponagla Internet do usuwania SHA-1?
Kategoria: BIZNES, IT i technologie
Zgodnie z zapowiedziami, algorytm szyfrujący SHA-1 będzie stopniowo wyłączany, aż zastąpi go algorytm SHA-2. Z tego względu Google zapowiedział, że strony, które go używają, otrzymają ostrzeżenia zabezpieczeń, aby zmobilizować ich właścicieli do zastosowania odpowiedniej ochrony.
Zgodnie z zapowiedziami, algorytm szyfrujący SHA-1 będzie stopniowo wyłączany, aż zastąpi go algorytm SHA-2. Z tego względu Google zapowiedział, że strony, które go używają, otrzymają ostrzeżenia zabezpieczeń, aby zmobilizować ich właścicieli do zastosowania odpowiedniej ochrony.
Szacuje się, że obecnie około 90% stron zabezpieczonych certyfikatami SSL używa algorytmu szyfrującego SHA-1.
Problem polega na tym, że algorytm SHA-1 z roku na rok staje się coraz słabszy. Według przewidywań ekspertów, „zorganizowanej cyberprzestępczości” uda się go sfałszować i wykorzystywać jego słabość w atakach w przeciągu 3-4 lat.
Jedynym sposobem uniknięcia tego jest zaprzestanie wspierania certyfikatów SSL z SHA-1 przez przeglądarki, a w konsekwencji wycofanie go z użycia i zastąpienie go nowym, mocnym algorytmem SHA-2.
Przeglądarki kontra SHA-1
Jako pierwszy plan zastąpienia algorytmu SHA-1 na SHA-2 ogłosił Microsoft. Windows i Internet Explorer przestaną wspierać certyfikaty z SHA-1 z dniem 01.01.2017 roku. Na to samo zdecydowała się Mozilla. Plan działań ma także Opera. Safari nie ogłosiła jeszcze swojego stanowiska w tej sprawie.
Ze wszystkich dostawców przeglądarek jedynie Google zapowiedział, że będzie ostrzegał użytkowników przed niebezpieczeństwem płynącym ze stron, które chroni certyfikat SSL z SHA-1. Pierwsza fala alarmów właśnie się rozpoczęła, przyspieszy przed końcem roku i przez kolejnych 6 miesięcy będzie bardzo intensywna. W 2016 roku strony z certyfikatami SSL z SHA-1 będą odpowiednio oznaczone.
Czeka nas zalew ostrzeżeń w Chrome
Posunięcie Google’a jest bardzo odważne, ponieważ wiąże się z dużym ryzykiem. Głównym powodem, dla którego tak trudno dostawcom przeglądarek odejść od wspierania algorytmu SHA-1 jest to, że kiedy przeglądarka wyświetla ostrzeżenie o zabezpieczeniach w przypadku kilku kolejno otwieranych stron, zniecierpliwiony użytkownik może przełączyć się na inną przeglądarkę. Google prawdopodobnie zdecydował się na ten krok dlatego, ponieważ założył, że użytkownicy mają do Chrome’a duże zaufanie i lubią tę przeglądarkę na tyle, aby wytrzymać niedogodność wynikającą z pierwszej fali alarmów, a więc zalew ostrzeżeń.
Dlaczego jeszcze nie wymieniliśmy certyfikatów?
Zarówno dla osób fizycznych, jak i firm, każda zmiana jest trudna i dlatego odkładana jest w czasie. Jednak dzięki wymianie certyfikatu SSL z SHA-1 na SHA-2, lepiej zadbamy nie tylko o bezpieczeństwo swojego biznesu, ale także własny wizerunek.
– Edukowanie o potrzebie korzystania z certyfikatów SSL z bezpiecznym algorytmem SHA-2 i obowiązek przeprowadzenia klientów przez ten proces w jak najmniej dokuczliwy i czasochłonny sposób spoczywa na Centrum Certyfikacji – mówi Mariusz Janczak, Menedżer Marketingu Produktowego z Unizeto Technologies.
źródło: Biuro Prasowe
Załączniki:
Hashtagi: #BIZNES #IT i technologie
