Proces wycofywania certyfikatów SSL podpisanych przy użyciu funkcji skrótu SHA-1 zapoczątkowany został już w 2013 roku przez Microsoft. Już wtedy pojawiały się pierwsze informacje na temat możliwości wygenerowania kolizji tej funkcji skrótu, która w odniesieniu do certyfikatów SSL mogła prowadzić do ich podrabiania.
Migracja do SHA-2
Dziś, pod koniec roku 2016 możemy chyba stwierdzić, że migracja certyfikatów SSL do tych podpisanych przy użyciu znacznie bezpieczniejszej funkcji skrótu jaką jest SHA-256 udała się. Jak pokazują badania obecnie już tylko około 2% spośród najpopularniejszych stron WWW posiada zainstalowany certyfikat SSL SHA-1.
W głównej mierze jest to zasługa twórców największych przeglądarek internetowych, które często swoimi agresywnymi politykami wymuszały aktualizacje certyfikatów. Przeglądarki te nie zwalniają tempa i zaraz na początku 2017 roku całkowicie przestaną akceptować certyfikaty SSL SHA-1. Już teraz zachęcam więc do weryfikacji tego jaki algorytm podpisu wykorzystany został w procesie wydawania Waszego certyfikatu SSL.
Niżej znajdziecie podsumowanie tego co czeka nas w roku 2017 odnośnie certyfikatów SSL SHA-1. Dodam tylko, że poniższe zmiany dotyczą certyfikatów SSL wydawanych przez urzędy certyfikacji, które znajdują się na zaufanych listach Google, Mozilli i Microsoftu.
Google – Chrome
Chrome już teraz nie wyświetla ikony kłódki dla certyfikatów SSL SHA-1, a dodatkowo dla tych których data końca ważności przypada na rok 2017 lub później, ostrzega użytkowników poprzez wyświetlanie czerwonego trójkąta z wykrzyknikiem i przekreślonym protokołem https.
Od 56 wersji Chrome, którego wydanie zaplanowano na koniec stycznia 2017 roku wsparcie dla certyfikatów SSL SHA-1 zostanie usunięte, a strony gdzie taki certyfikat będzie jeszcze zainstalowany będą blokowane.
Mozilla – Firefox
Firefox zacznie ostrzegać 0 stronach z zainstalowanym certyfikatem SSL SHA-1 od wersji 51, która również dostępna będzie już w styczniu. Użytkownicy stron WWW, których administratorzy nie zaktualizowali certyfikatów będą musieli liczyć się z komunikatem Połączenie nie jest bezpieczne.
Microsoft – Edge i Internet Explorer
Edge, podobnie jak Chrome, już teraz nie wyświetla ikony kłódki dla certyfikatów SSL SHA-1. Internet Explorer również ostrzega przez certyfikatami SSL SHA-1 poprzez zmianę jej koloru na żółty lub czerwony w zależności od daty końca ważności certyfikatu.
Zaczynając od 14 lutego 2017 w obu przeglądarkach strony WWW zabezpieczone przy pomocy certyfikaty SSL SHA-1 będą blokowane.
Co istotnie Microsoft, przynajmniej na razie, pozostawi użytkownikowi możliwości kontynuowania ładowania treści strony. Opcja ta oczywiście nie jest zalecana.