Хакер #305. Многошаговые SQL-инъекции
Компания Google объявила о постепенном отказе от хэш-алгоритма SHA-1 и цифровых сертификатов с использованием SHA-1 в браузере Chrome. Нужно сказать, что около 90% SSL-сайтов — — применяют алгоритм SHA-1.
Блокировка SHA-1 вводится с версии Chrome 39 в ноябре 2014 года. В этой версии сайты HTTPS с сертификатами, которые истекают после 1 января 2017 года, где присутствует хэш SHA-1, больше не считаются полностью доверенными в Chrome. Для них в адресной строке браузера будет указан значок с жёлтым треугольником, что означает «Безопасен, но с небольшими ошибками».
В следующей версии браузера Chrome 40 (7 ноября 2014 года) аналогичные меры воздействия распространятся на сертификаты, у которых срок действия заканчивается с 1 июня 2016 года по 31 декабря 2016 года. В то же время, для сайтов предыдущей группы (со сроком действия после 1 января 2017 года) сообщение сменится на более жёсткое: «Нейтрален, слабая защита».
В конце концов, с 41-й версии браузера (I кв. 2015 года) для сертификатов с подписями на основе SHA-1 (со сроком действия после 1 января 2017 года) будет отображаться красный значок полного отсутствия защиты.
По мнению специалиста, Google поступает правильно, потому что использование алгоритма SHA-1 действительно опасно из-за его слабости (см. расчётную стоимость подделки отдельного сертификата с помощью подбора коллизии хэша). Аналогичные планы блокировки SHA-1 есть у Mozilla и Microsoft.
В то же время, агрессивная тактика Google с демонстрацией «небезопасности» сайта в то время, как в других браузерах этот сайт отображается как безопасный, представляет риск для самой компании Google. Некоторые пользователи могут принять такое поведение браузера за глюк — и откажутся от использования Chrome. Другими словами, Google рискует своими коммерческими интересами ради безопасности пользователей.
Тем не менее, агрессивную тактику Google поддержали разработчики Opera. Группа разработки Safari наблюдает за происходящим и пока ничего не анонсирует.