AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

SHA-1 将延后停用

  • 2015-12-31
  • 本文字数:694 字

    阅读完需:约 2 分钟

很长一段时间以来,SHA-1 哈希函数一直被用于加密和保证数据完整性。令人遗憾的是,近年来,该算法已被证实有足够攻击者发起攻击的漏洞,用户应该使用一种更新的协议(SHA-256)取代它。几年来,企业一直致力于采用一种替代方案,但有个问题是,需要处理数以百万计的使用了这个停用的函数的设备。如果企业强制推行一种更为安全的协议,那么他们就要冒着拒绝那些没有能力更新系统的设备访问的风险。如果企业什么都不做,那么用户就会继续暴露,而且没有动力更新系统或者寻找替代方案。

根据来自 Facebook 的 Alex Stamos报道,他们已经确认,有3%~7% 的用户使用着不支持新协议的浏览器。他们已经实现了一种技术,可以的话就使用SHA-256,而只把SHA-1 作为最后的选择。Twitter 也报道了类似的用户数量,这些用户受他们使用的老设备所限,只能使用SHA-1。

通过同 CloudFlare 合作,这三家公司已经向 CA/Browser 论坛(浏览器证书颁发机构论坛)提交了一份修正案,针对那些受限于 SHA-1 的用户,提供了一种解决用户需求的过渡方案:

  1. 该提案会确保所有的主流设备继续向 SHA-256 迁移。
  2. 在域同时支持 SHA-256 时,仅允许使用原有的合法 SHA-1 证书。
  3. 原有的合法 SHA-1 证书只有在特定的情况下才可以使用,而且到 2019 年 3 月仍然会废止。
  4. 增加原有合法证书中序列号的随机化,降低 SHA-1 证书遭碰撞攻击的可能性。
  5. 如果在攻击事件中发现 SHA-1 证书使用不当,那么证书所有者会终止这些原有合法证书的使用。

当然,尽管提案允许,但除了策略考量外,用户还是会受 SHA-1 的弱点所影响,所以对于受影响的用户而言,尽快升级浏览器和 / 或设备还是很重要的。

查看英文原文: Postponing the Retirement of SHA-1

2015-12-31 18:002039
用户头像

发布了 1008 篇内容, 共 410.3 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

【等保测评】黑龙江等保测评机构详细信息说明

行云管家

网络安全 等保 等级保护 等保测评

web技术分析| 一篇前端图像处理秘籍

anyRTC开发者

大前端 音视频 WebRTC web技术分享

模块一作业

小智

架构实战营

在?进来看看新一季周边到底做点啥?【话题讨论】

气气

话题讨论

🏆「作者推荐」Java技术专题-JDK/JVM的新储君—GraalVM和Quarkus

码界西柚

Java JVM GraalVM 8月日更

没有7年经验你真学不会这份SpringCloud实战演练文档

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

DEX去中心化交易所自动刷量机器人开发|去中心化做市机器人

Geek_23f0c3

去中心化交易所系统开发 量化交易机器人系统开发 量化机器人 做市机器人 自动刷量机器人

终于有大牛把Spring微服务架构设计第2版文档给整理完毕了

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

区块链+物联网设备,能产生什么反应?

CECBC

多样数字人民币钱包来袭,阻力与动力并存

CECBC

GraphQL设计思想

Ryan Zheng

graphql

由阿里三位专家撰写:数据库高效优化:架构、规范SQL技巧文档

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

堡垒机和跳板机的三大区别分析-行云管家

行云管家

运维 堡垒机 IT运维 跳板机

后Kubernetes时代的虚拟机管理技术之kubevirt篇

谐云

虚拟机 #Kubernetes#

一分钟学会使用ApiPost中的全局参数和目录参数

CodeNongXiaoW

大前端 测试 后端 接口工具

20年IT老民工苦心编撰成超大流量分布式系统架构解决方案文档

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

DEX去中心化交易所自动刷量机器人开发|去中心化做市机器人

量化系统19942438797

去中心化 做市机器人

文件上传绕过思路拓展

网络安全学海

黑客 网络安全 信息安全 渗透测试 安全漏洞

来了!《中国移动2021智能硬件质量报告》正式发布

【虚拟机专栏】智能合约执行引擎的前世今生

趣链科技

MySQL 不完全入门指南

Java 编程 架构 面试 架构师

立于山巅!他,凭什么抗住万亿级流量冲击!

博文视点Broadview

零基础入门:基于开源WebRTC,从0到1实现实时音视频聊天功能

JackJiang

音视频 WebRTC 即时通讯 IM

protocol buffer的高效编码方式

程序那些事

Java protobuf 程序那些事

国产接口调试工具ApiPost中的内置变量

Proud lion

大前端 测试 后端 Postman 开发工具

摩尔时代如何押注AI算力?英特尔战术大揭秘

科技新消息

软件测试框架之——Postman参数化(超详细小白教程)

程序员阿沐

软件测试 自动化测试 接口测试

华为高级技术专家多年经验分享微服务治理体系、架构及实践文档

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

一文带你掌握 OceanBase 社区版部署细节及原理

OceanBase 数据库

数据库 分布式数据库 oceanbase OceanBase 开源 OceanBase 社区版

Java NIO在接口自动化中应用

FunTester

Java nio 接口测试 测试开发

打造数字人民币的大运应用场景

CECBC

SHA-1将延后停用_安全_Jeff Martin_InfoQ精选文章