微軟明年2月終止Microsoft Edge及IE對SHA-1的支援

微軟於上周宣布，自明年2月14日起，旗下的Microsoft Edge與IE 11瀏覽器將不再支援採用SHA-1憑證的網站，但企業或自我簽署的SHA-1則不在此限，除了微軟之外，Google及Mozilla也都已經宣布預計於明年1月釋出的Chrome 56與Firefox 51也都不再支援SHA-1。

SHA-1為一安全雜湊演算法，只是近年來紛紛有研究顯示攻擊該演算法的成本大為降低，已無法再確保其傳輸安全，相關弱點將允許駭客在使用者瀏覽網頁時置換內容、執行網釣或中間人攻擊，使得不論是微軟、Google或Mozilla等主要瀏覽器業者早就達成漸次淘汰SHA-1的共識。

微軟表示，從明年的2月14日起，Microsoft Edge與IE 11會在使用者造訪採用SHA-1的網站跳出「無效憑證」的警告訊息，不過使用者仍可選擇忽略該訊息以連至該站 。此一政策雖不影響手動安裝的企業或自我簽署的SHA-1憑證，但微軟仍強烈建議業者儘快改用SHA-256。

其實接替SHA-1的SHA-2家族早就出爐，但根據資安業者Venafi的估計，全球還有35%的網站仍在使用不安全的SHA-1，代表1.73億的全球網站中，有6100萬個是不安全的。

Venafi警告，所有的瀏覽器都仰賴憑證來確保網站的可靠性，特別是在從事電子商務或網路銀行等活動時，被不少憑證採納的SHA-1演算法可能遭受碰撞攻擊（collision attack）而允許駭客偽造憑證或執行中間人攻擊。

有鑑於每個組織平均擁有超過2.3萬個金鑰或憑證，且多數的組織缺乏挖掘環境中所有SHA-1的工具，使得不少組織仍抱著僥倖心態，只是這些組織顯然在明年第一季就將無從藏匿，儘速規畫移轉方案才是王道。