002

Компания Google объявила о постепенном отказе от хэш-алгоритма SHA-1 и цифровых сертификатов с использованием SHA-1 в браузере Chrome. Нужно сказать, что около 90% SSL-сайтов006 — применяют алгоритм SHA-1.

Блокировка SHA-1 вводится с версии Chrome 39 в ноябре 2014 года. В этой версии сайты HTTPS с сертификатами, которые истекают после 1 января 2017 года, где присутствует хэш SHA-1, больше не считаются полностью доверенными в Chrome. Для них в адресной строке браузера будет указан значок с жёлтым треугольником, что означает «Безопасен, но с небольшими ошибками».

003

В следующей версии браузера Chrome 40 (7 ноября 2014 года) аналогичные меры воздействия распространятся на сертификаты, у которых срок действия заканчивается с 1 июня 2016 года по 31 декабря 2016 года. В то же время, для сайтов предыдущей группы (со сроком действия после 1 января 2017 года) сообщение сменится на более жёсткое: «Нейтрален, слабая защита».

004

В конце концов, с 41-й версии браузера (I кв. 2015 года) для сертификатов с подписями на основе SHA-1 (со сроком действия после 1 января 2017 года) будет отображаться красный значок полного отсутствия защиты.

005

По мнению специалиста, Google поступает правильно, потому что использование алгоритма SHA-1 действительно опасно из-за его слабости (см. расчётную стоимость подделки отдельного сертификата с помощью подбора коллизии хэша). Аналогичные планы блокировки SHA-1 есть у Mozilla и Microsoft.

В то же время, агрессивная тактика Google с демонстрацией «небезопасности» сайта в то время, как в других браузерах этот сайт отображается как безопасный, представляет риск для самой компании Google. Некоторые пользователи могут принять такое поведение браузера за глюк — и откажутся от использования Chrome. Другими словами, Google рискует своими коммерческими интересами ради безопасности пользователей.

Тем не менее, агрессивную тактику Google поддержали разработчики Opera. Группа разработки Safari наблюдает за происходящим и пока ничего не анонсирует.

6 комментариев

  1. 09.09.2014 at 14:13

    Пользователи, которые примут за глюк, пускай мышь туда наведут. Наверняка там будет всё написано, почему он не считается надёжным.
    Я в ту часть адресной строки не смотрю никогда даже, так что бестолку там что-то размещать. Вот поверх фавиконки — другое дело.

  2. 09.09.2014 at 14:19

    «Некоторые пользователи могут принять такое поведение браузера за глюк» — есть ещё одна опасность. Пользователи, впервые увидевшие такое, решат поинтересоваться, что происходит. И, выяснив, что ничего страшного, просто перестанут обращать внимание на значки. Вот тут то их можно будет брать голыми руками.

  3. 09.09.2014 at 15:10

    Еще бы в Опере не поддержали, после того, как они прыгнули в постель к Гуглу.

  4. 09.09.2014 at 17:42

    сцуки совсем зажрались, SHA-1 им не хэш…

Оставить мнение