写点什么

Google、Microsoft 和 Mozilla 敦促网站运维人员更换 SHA–1 认证

2016 年 11 月 27 日

继去年宣布了 SHA–1 弃用计划之后,近期 Google、Microsoft 和 Mozilla 给出了从各自的旗舰浏览器产品中移除 SHA-1 认证支持的详细时间表。

Chrome 即将在 2017 年 1 月底发布到稳定通道的Chrome 56 将不再信任任何来自公共认证机构的SHA-1 认证,对现有的SHA-1 认证会给出警告。但是对于那些在企业内部使用的私有PKI,Chrome 将会继续提供SHA-1 支持,因为这些PKI 使用 EnableSha1ForLocalAnchors 策略,依赖底层的操作系统提供 SHA-1 支持。

Firefox Firefox 将在 Firefox 51 中停止信任 SHA-1 签名认证。当前 Firefox 51 正处于开发版本阶段,计划于2017 年1 月发布。为评估移除SHA-1 签名认证对真实使用情况的影响,Mozilla 在2016 年11 月初着手在部分beta 用户中开展移除SHA-1 的beta 测试。Firefox 默认使用手动安装的认证。

Edge Mircosoft Edge 和 Internet Explorer 11 浏览器将于 2017 年 2 月 14 日停止加载使用 SHA-1 认证的网站,同时让用户决定是否忽视无效认证的警告并依然继续访问该网站。同样,手动安装的或自签名的 SHA-1 认证将不会受到影响。

Safari

Safari 的提供商 Apple 也开始逐步停止使用 SHA-1 和 3DES 这类被认为是不安全的算法。在最新版本的 macOS 中已经可以看到,对于 SHA-1 签名认证的网站,Safari 浏览器将不再显示那个原有的绿色挂锁标志。在 Sierra 的发行说明中也建议应尽快停止使用 SHA-1,但是并未给出更多的细节。

虽然移除 SHA-1 支持早已进入倒计时阶段,但是安全公司 Venafi 的研究人员发现,在一千一百万个可访问的网站中,有 35% 的网站依然在使用 SHA-1 认证。

我们的分析结果清晰地表明,虽然很多最热门的网站已经移除了 SHA-1 认证,但是仍有大部分网站在使用 SHA-1 认证。据 Netcraft 在 2016 年 9 月所做的 Web 服务器调查显示,当前有超过一亿七千三百万的活跃网站。从我们的分析结果推断,其中可能至少会有六千一百万个网站依然在使用这类认证。

早在11 年前,SHA-1 加密算法就被发现是脆弱的,近期的发现进一步表明 SHA-1 比我们之前想象的还要脆弱。这主要是因为 GPU 的最新进展使得碰撞攻击在不久的将来成为可能。

逐步停止对 SHA-1 支持的决策最早是由 Google 在 2014 年末提出的,很快 Mozilla 也跟进,之后是 Microsoft 。在 2015 年中期,这些公司雄心勃勃移除 SHA-1 计划曾被推迟。主要是考虑到现在有很多不支持新算法的老设备,它们的Web 访问会因此被切断。

对于网站的运营人员而言,检查一个网站是否正在使用基于SHA-1 的认证并非难事。

查看英文原文: Google, Microsoft, and Mozilla Urge Site Operators to Replace SHA–1 Certificates


感谢薛命灯对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016 年 11 月 27 日 18:005949
用户头像

发布了 226 篇内容, 共 59.5 次阅读, 收获喜欢 14 次。

关注

评论

发布
暂无评论
发现更多内容

一道腾讯面试题目:没有listen,能否建立TCP连接

linux大本营

c++ Linux TCP 后台开发 TCP/IP

大促中为什么需要可视化监控大屏?

京东智联云开发者

大数据 监控 数据可视化

老师讲的真棒!总结2020年最全180道Android岗面试题,Android校招面试指南

欢喜学安卓

android 程序员 面试 移动开发

TensorFlow2 Fashion-MNIST图像分类(一)

书豪

tensorflow 学习

LeetCode题解:515. 在每个树行中找最大值,BFS,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

TensorFlow2 Fashion-MNIST图像分类(二)

书豪

架构师训练营第 1 期 - 第 11周 - 学习总结

wgl

极客大学架构师训练营

观点|发展区块链金融,长三角如何建设“四梁八柱”

CECBC区块链专委会

区块链

快速学会!啃完999页Android面试高频宝典,挥泪整理面经

欢喜学安卓

android 程序员 面试 移动开发

诚招译者 | Bruce Eckel On Java 8 中文版

图灵社区

Java

加密货币可能是人类历史上最大的/富国银行报告:加密货币投资像19世纪50年代的早期淘金热财富转移

CECBC区块链专委会

数字货币

IO问题成顽疾,鹅厂专家来教你

数据君

数据库

docker与podman的故事:一个方兴未艾,一个异军突起

晓川

天下武功,唯”拆“不破| 技术人应知的创新思维模型 (4)

Alan

思维模型 技术人应知的创新思维模型 MECE 组合创新 28天写作

揭开IP地址的神秘身份!!!

德胜网络-阳

疫情之下,被公司优化掉!同事大部分都去了创业型的公司,而我仅仅一年经验,却斩获多家大厂offer

马士兵老师

Java java面试 架构师技能 面试程序员

DolphinDB与Pandas对于大文本文件处理的性能对比

DolphinDB

数据库 pandas tsdb 数据库选择 DolphinDB

高并发下,如何让你的数据库再快一点?

数据君

数据库

老师讲的真棒!阿里P7级别面试经验总结,终获offer

欢喜学安卓

android 程序员 面试 移动开发

开发者,别让自己孤独

阿里巴巴云原生

开源 开发者 云原生 OAM CloudNative

专访 CNCF 大使张磊:让云原生不再是大厂专属

阿里巴巴云原生

开源 开发者 云原生 OAM CloudNative

深入浅出 WebRTC AEC(声学回声消除)

阿里云视频云

WebRTC 音视频会议 音频技术 实时音视频 音视频算法

http client 中的 connectionRequestTimeout, connectTimeout, socketTimeout

不在调上

深入Linux内核架构——进程虚拟内存

赖猫

c++ Linux

案件数同比下降七成 北京引入“区块链”化解物业纠纷

CECBC区块链专委会

区块链 法律

23种设计模式与六大原则看了又忘,忘了又看?是你看的方法不对!

Java成神之路

Java 程序员 架构 面试 编程语言

SDK开发质量保障经验总结

张明云

接口 程序设计 接口测试 sdk SDK测试

Redis Sentinel-深入浅出原理和实战

Linux服务器开发

redis 中间件 底层应用开发 web服务器 Linux服务器开发

cartographer环境建立以及建图测试(详细级)

良知犹存

cartographer slam

本文帮你在Unix下玩转C语言

MySQL从删库到跑路

unix C语言

Gemini双子新约系统软件开发|Gemini双子新约APP开发

开發I852946OIIO

系统开发

InfoQ 极客传媒开发者生态共创计划线上发布会

InfoQ 极客传媒开发者生态共创计划线上发布会

Google、Microsoft和Mozilla敦促网站运维人员更换SHA–1认证-InfoQ