002

Компания Google объявила о постепенном отказе от хэш-алгоритма SHA-1 и цифровых сертификатов с использованием SHA-1 в браузере Chrome. Нужно сказать, что около 90% SSL-сайтов006 — применяют алгоритм SHA-1.

Блокировка SHA-1 вводится с версии Chrome 39 в ноябре 2014 года. В этой версии сайты HTTPS с сертификатами, которые истекают после 1 января 2017 года, где присутствует хэш SHA-1, больше не считаются полностью доверенными в Chrome. Для них в адресной строке браузера будет указан значок с жёлтым треугольником, что означает «Безопасен, но с небольшими ошибками».

003

В следующей версии браузера Chrome 40 (7 ноября 2014 года) аналогичные меры воздействия распространятся на сертификаты, у которых срок действия заканчивается с 1 июня 2016 года по 31 декабря 2016 года. В то же время, для сайтов предыдущей группы (со сроком действия после 1 января 2017 года) сообщение сменится на более жёсткое: «Нейтрален, слабая защита».

004

В конце концов, с 41-й версии браузера (I кв. 2015 года) для сертификатов с подписями на основе SHA-1 (со сроком действия после 1 января 2017 года) будет отображаться красный значок полного отсутствия защиты.

005

По мнению специалиста, Google поступает правильно, потому что использование алгоритма SHA-1 действительно опасно из-за его слабости (см. расчётную стоимость подделки отдельного сертификата с помощью подбора коллизии хэша). Аналогичные планы блокировки SHA-1 есть у Mozilla и Microsoft.

В то же время, агрессивная тактика Google с демонстрацией «небезопасности» сайта в то время, как в других браузерах этот сайт отображается как безопасный, представляет риск для самой компании Google. Некоторые пользователи могут принять такое поведение браузера за глюк — и откажутся от использования Chrome. Другими словами, Google рискует своими коммерческими интересами ради безопасности пользователей.

Тем не менее, агрессивную тактику Google поддержали разработчики Opera. Группа разработки Safari наблюдает за происходящим и пока ничего не анонсирует.

Подписаться
Уведомить о
6 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии