示意圖,與新聞事件無關。

圖片來源: 

Microsoft

微軟在本周二(5/9)的Patch Tuesday中,更新了IE 11與Microsoft Edge瀏覽器,在這兩大瀏覽器上封鎖了任何採用SHA-1加密憑證的網站,同時在網頁上顯示「憑證錯誤」(Certificate error)的訊息。

SHA-1為美國國安局(NSA)在1995年所發表的加密雜湊函數,可用來加密及驗證檔案身分,理論上每個以SHA-1加密的檔案都會有專屬的雜湊值,但近年來陸續有研究人員宣稱SHA-1含有一可造成碰撞攻擊的安全漏洞,允許駭客打造擁有同樣雜湊值的文件,以假亂真。Google則在今年2月宣布已成功破解SHA-1,實際執行了碰撞攻擊。

微軟強調,這並不是IE或Edge瀏覽器的安全漏洞,只是各界已不再鼓勵採用基於SHA-1的數位憑證,並建議客戶升級到SHA-2,此外,Windows 10 Creators Update的瀏覽器預設值便已封鎖了SHA-1。

雖然顯示了憑證錯誤訊息,同時警告造訪這些採用SHA-1憑證的網站可能會招致資料遭竊等問題,但微軟瀏覽器仍舊會放行那些堅持造訪相關網站的流量。

在微軟之前,Google Chrome已於今年1月釋出的Chrome 56便已終止對SHA-1憑證的支援,而Mozilla也在今年2月釋出的Firefox 52全面封鎖採用SHA-1憑證的網站。根據Mozilla今年2月的統計,仍使用SHA-1而未升級至SHA-2的網站佔不到整體網路流量的0.1%。


Advertisement

更多 iThome相關內容