圖片來源: 

Google

2015年進入尾聲,Google再次提醒Chrome將自2016年1月1日起分階段停止支援SHA-1憑證的計畫,並將在2017年1月1日起、甚至可能更早完全棄守SHA-1憑證。

SHA-1是一種加密演算法,可用於產生160-bit的雜湊值。然而在運算技術提升及服務普及的趨勢下,駭客破解SHA-1的成本大為降低。例如新加坡南陽科技大學、法國Inria大學的研究顯示,租用Amazon EC2雲端運算服務幾個月的時間來破解SHA-1,最新成本已經降到7.5到12萬美元之間。

Google其實在去年9月就已宣佈SHA-1憑證的兩階段汰換計畫。自2016年1月1日起停止支援新的SHA-1憑證,然後從2017年1月1日起,終止支援所有SHA-1憑證。

 從明年起,預定一月底正式釋出的Chrome 48瀏覽器造訪的網站若其leaf certificate符合三項條件:2016年1月1日以後發出、以SHA-1憑證簽發,且連到公有憑證機構(CA),Chrome即會顯示憑證錯誤訊息。

而2016年之後版本的Chrome則會擴大限制範圍,凡憑證鏈包含SHA-1簽發的intermediate或leaf certificate,且為2016年1月1日之後簽發的intermediate或leaf certificate,連向公有CA的網站,都會顯示錯誤訊息,以協助舊有裝置防範SHA-1碰撞攻擊(collision attacks)。但連向本機信賴起源( local trust anchors )採用SHA-1憑證的網站則還能使用。

 最後,自2017年1月1日起,Chrome將會完全終止支援SHA-1憑證,只要網站憑證鏈任何一段(不論是連向本機信賴起源或公共CA)包含SHA-1簽章,都會被Chrome標示為重大網路錯誤(不包括以根憑證簽發者)。

但Google表示配合日後研究結果,也考慮將日期提早到2016年7月1日,並呼籲網站管理員應盡速汰換SHA-1憑證。Google還提醒,微軟稍早公佈自2016年元旦起Windows 7以上作業系統不再信任新的SHA-1憑證簽章驗證的程式碼,由於Chrome盡可能使用主機作業系統的憑證信賴設定, 因此可能提早被Chrome被標示為重大網路錯誤。

 原本Microsoft Edge及Mozilla也都計畫從2017年第一天起開始全面封鎖SHA-1憑證。不過微軟也在上個月宣佈考慮將提早到2016年6月。


Advertisement

更多 iThome相關內容