三大浏览器敦促网站运维人员更换 SHA–1 认证

继去年宣布了SHA–1弃用计划之后，近期Google、Microsoft和Mozilla给出了从各自的旗舰浏览器产品中移除SHA-1认证支持的详细时间表。

Chrome

即将在2017年1月底发布到稳定通道的Chrome 56将不再信任任何来自公共认证机构的SHA-1认证，对现有的SHA-1认证会给出警告。但是对于那些在企业内部使用的私有PKI，Chrome将会继续提供SHA-1支持，因为这些PKI使用EnableSha1ForLocalAnchors策略，依赖底层的操作系统提供SHA-1支持。

Firefox

Firefox将在Firefox 51中停止信任SHA-1签名认证。当前Firefox 51正处于开发版本阶段，计划于2017年1月发布。为评估移除SHA-1签名认证对真实使用情况的影响，Mozilla在2016年11月初着手在部分beta用户中开展移除SHA-1的beta测试。Firefox默认使用手动安装的认证。

Edge

Mircosoft Edge和Internet Explorer 11浏览器将于2017年2月14日停止加载使用SHA-1认证的网站，同时让用户决定是否忽视无效认证的警告并依然继续访问该网站。同样，手动安装的或自签名的SHA-1认证将不会受到影响。

Safari

Safari的提供商Apple也开始逐步停止使用SHA-1和3DES这类被认为是不安全的算法。在最新版本的macOS中已经可以看到，对于SHA-1签名认证的网站，Safari浏览器将不再显示那个原有的绿色挂锁标志。在Sierra的发行说明中也建议应尽快停止使用SHA-1，但是并未给出更多的细节。

虽然移除SHA-1支持早已进入倒计时阶段，但是安全公司Venafi的研究人员发现，在一千一百万个可访问的网站中，有35%的网站依然在使用SHA-1认证。

我们的分析结果清晰地表明，虽然很多最热门的网站已经移除了SHA-1认证，但是仍有大部分网站在使用SHA-1认证。据Netcraft在2016年9月所做的Web服务器调查显示，当前有超过一亿七千三百万的活跃网站。从我们的分析结果推断，其中可能至少会有六千一百万个网站依然在使用这类认证。

早在11年前，SHA-1加密算法就被发现是脆弱的，近期的发现进一步表明SHA-1比我们之前想象的还要脆弱。这主要是因为GPU的最新进展使得碰撞攻击在不久的将来成为可能。

逐步停止对SHA-1支持的决策最早是由Google在2014年末提出的，很快Mozilla 也跟进，之后是Microsoft。在2015年中期，这些公司雄心勃勃移除SHA-1计划曾被推迟。主要是考虑到现在有很多不支持新算法的老设备，它们的Web访问会因此被切断。

对于网站的运营人员而言，检查一个网站是否正在使用基于SHA-1的认证并非难事。

原文来自:InfoQ

声明：所有来源为“聚合数据”的内容信息，未经本网许可，不得转载！如对内容有异议或投诉，请与我们联系。邮箱：marketing@think-land.com