Google、Microsoft和Mozilla敦促网站运维人员更换SHA–1认证
jopen 8年前
<p style="text-align: center;"><a href="/misc/goto?guid=4958546594282800774" title="Chrome"><img alt="Google、Microsoft和Mozilla敦促网站运维人员更换SHA–1认证" src="https://simg.open-open.com/show/2ad00257c22a8d675c095ce66c436879.png" /></a></p> <p>继去年宣布了 SHA–1 弃用计划之后,近期 Google、Microsoft 和 Mozilla 给出了从各自的旗舰浏览器产品中移除 SHA-1 认证支持的详细时间表。</p> <p><a href="/misc/goto?guid=4958995728287878942">Chrome</a></p> <p>即将在 2017 年 1 月底<a href="/misc/goto?guid=4958995728386593289">发布到稳定通道</a>的 Chrome 56 将不再信任任何来自公共认证机构的 SHA-1 认证,对现有的 SHA-1 认证会给出警告。但是对于那些在企业内部使用的私有 PKI,Chrome 将会继续提供 SHA-1 支持,因为这些 PKI 使用 <a href="/misc/goto?guid=4958995728476630007">EnableSha1ForLocalAnchors 策略</a>,依赖底层的操作系统提供 SHA-1 支持。</p> <p><a href="/misc/goto?guid=4958995728568467040">Firefox</a></p> <p>Firefox 将在 Firefox 51 中停止信任 SHA-1 签名认证。当前 Firefox 51 正处于开发版本阶段,<a href="/misc/goto?guid=4958995728663435671">计划</a>于 2017 年 1 月发布。为评估移除 SHA-1 签名认证对真实使用情况的影响,Mozilla 在 2016 年 11 月初着手在部分 beta 用户中开展移除 SHA-1 的 beta 测试。Firefox 默认使用手动安装的认证。</p> <p><a href="/misc/goto?guid=4958995728754943956">Edge</a></p> <p>Mircosoft Edge 和 Internet Explorer 11 浏览器将于 2017 年 2 月 14 日停止加载使用 SHA-1 认证的网站,同时让用户决定是否忽视无效认证的警告并依然继续访问该网站。同样,手动安装的或自签名的 SHA-1 认证将不会受到影响。</p> <p>Safari</p> <p>Safari 的提供商 Apple 也开始逐步停止使用 SHA-1 和 3DES 这类被认为是不安全的算法。在最新版本的 macOS 中已经可以看到,对于 SHA-1 签名认证的网站,Safari 浏览器将<a href="/misc/goto?guid=4958995728860497305">不再显示</a>那个原有的绿色挂锁标志。在 <a href="/misc/goto?guid=4958995728946690286">Sierra 的发行说明</a>中也建议应尽快停止使用 SHA-1,但是并未给出更多的细节。</p> <p>虽然移除 SHA-1 支持早已进入倒计时阶段,但是安全公司 Venafi 的研究人员<a href="/misc/goto?guid=4958995729045407390">发现</a>,在一千一百万个可访问的网站中,有 35% 的网站依然在使用 SHA-1 认证。</p> <blockquote> <p>我们的分析结果清晰地表明,虽然很多最热门的网站已经移除了 SHA-1 认证,但是仍有大部分网站在使用 SHA-1 认证。据 Netcraft 在 2016 年 9 月所做的 Web 服务器调查显示,当前有超过一亿七千三百万的活跃网站。从我们的分析结果推断,其中可能至少会有六千一百万个网站依然在使用这类认证。</p> </blockquote> <p><a href="/misc/goto?guid=4958995729134803745">早在 11 年前,SHA-1 加密算法就被发现是脆弱的</a>,近期的发现进一步<a href="/misc/goto?guid=4958995729224551587">表明</a>SHA-1 比我们之前想象的还要脆弱。这主要是因为 GPU 的最新进展使得碰撞攻击在不久的将来成为可能。</p> <p>逐步停止对 SHA-1 支持的决策最早是由 Google 在 2014 年末<a href="/misc/goto?guid=4958995729320523820">提出</a>的,很快 <a href="/misc/goto?guid=4958995729409095201">Mozilla</a> 也跟进,之后是 <a href="/misc/goto?guid=4958995729509453433">Microsoft</a>。在 2015 年中期,这些公司雄心勃勃移除 SHA-1 计划曾被<a href="/misc/goto?guid=4958995729601215698">推迟</a>。主要是考虑到现在有很多不支持新算法的老设备,它们的 Web 访问会因此被切断。</p> <p>对于网站的运营人员而言,<a href="/misc/goto?guid=4958838674162991379">检查</a>一个网站是否正在使用基于 SHA-1 的认证并非难事。</p> <p>来自: <a href="/misc/goto?guid=4958995729733478219" id="link_source2">InfoQ</a></p>