Zgodnie z zapowiedziami, algorytm szyfrujący SHA-1 będzie stopniowo wyłączany, aż zastąpi go algorytm SHA-2. Z tego względu Google zapowiedział, że strony, które go używają, otrzymają ostrzeżenia zabezpieczeń, aby zmobilizować ich właścicieli do zastosowania odpowiedniej ochrony.
Szacuje się, że obecnie około 90%stron zabezpieczonych certyfikatami SSL używa algorytmu szyfrującego SHA-1.
Problem polega na tym, że algorytm SHA-1 z roku na rok staje się coraz słabszy. Według przewidywań ekspertów,"zorganizowanej cyberprzestępczości" uda się go sfałszować i wykorzystywać jego słabość w atakachw przeciągu 3-4 lat.
Jedynym sposobem uniknięcia tego jest zaprzestanie wspierania certyfikatów SSL z SHA-1 przez przeglądarki, a w konsekwencji wycofanie go z użycia i zastąpienie go nowym, mocnym algorytmem SHA-2.
Przeglądarki kontra SHA-1
Jako pierwszy plan zastąpienia algorytmu SHA-1 na SHA-2 ogłosił Microsoft. Windows i Internet Explorer przestaną wspierać certyfikaty z SHA-1z dniem01.01.2017 roku. Na to samo zdecydowała się Mozilla. Plan działań ma także Opera. Safari nie ogłosiła jeszcze swojego stanowiska w tej sprawie.
Ze wszystkich dostawców przeglądarek jedynie Google zapowiedział, że będzie ostrzegał użytkowników przed niebezpieczeństwem płynącym ze stron, które chroni certyfikat SSL z SHA-1.Pierwsza fala alarmów właśnie się rozpoczęła, przyspieszy przed końcem roku i przez kolejnych 6 miesięcy będzie bardzo intensywna. W 2016 roku strony z certyfikatami SSLz SHA-1będą odpowiednio oznaczone.
Czeka nas zalew ostrzeżeń w Chrome
Posunięcie Google'a jest bardzo odważne, ponieważ wiąże się z dużym ryzykiem. Głównym powodem, dla którego tak trudno dostawcom przeglądarek odejść od wspierania algorytmu SHA-1 jest to, że kiedy przeglądarka wyświetla ostrzeżenie o zabezpieczeniach w przypadku kilku kolejno otwieranych stron, zniecierpliwiony użytkownik może przełączyć się na inną przeglądarkę. Google prawdopodobnie zdecydował się na ten krok dlatego, ponieważ założył, że użytkownicy mają do Chrome'a duże zaufanie i lubią tę przeglądarkę na tyle,aby wytrzymać niedogodność wynikającą z pierwszej fali alarmów, a więc zalew ostrzeżeń.
Dlaczego jeszcze nie wymieniliśmy certyfikatów?
Zarówno dla osób fizycznych, jak i firm, każda zmiana jest trudna i dlatego odkładana jest w czasie. Jednak dzięki wymianie certyfikatu SSL z SHA-1 na SHA-2, lepiej zadbamy nie tylko o bezpieczeństwo swojego biznesu, ale także własny wizerunek.
- Edukowanie o potrzebie korzystania z certyfikatów SSL z bezpiecznym algorytmem SHA-2 i obowiązek przeprowadzenia klientów przez ten procesw jak najmniej dokuczliwy i czasochłonny sposób spoczywa na Centrum Certyfikacji - mówi specjalista.