Ponad rok temu Google zapoczątkowało proces wycofywania certyfikatów SSL (TLS) SHA-1 poprzez wprowadzenie określonych ostrzeżeń w przeglądarce Chrome. Teraz czas na kolejny etap.
Co nowego w 2016?
Nowy roku z reguły przynosi wiele zmian i postanowień. Google kontynuuje swoje zeszłoroczne postanawienia czego wynikiem będą kolejne zmiany dotyczące certyfikatów SSL SHA-1 w 48 wersji Chrome. We wspomnianym wydaniu Chrome, którego premiera zaplanowana jest na początek nowego roku, blokowane będą strony WWW których końcowy certyfikat SSL będzie:
- podpisany przy wykorzystaniu funkcji skrótu SHA-1;
- ważny przynajmniej od 01.01.2016 (chodzi o datę początku ważności certyfikatu);
- wystawiony przez Urząd Certyfikacji, któremu ufa Chrome.
Wejście na taką stronę będzie blokowane, gdy spełnione zostaną jednocześnie te trzy warunki. Szczegółowy komunikat błędu, który zostanie wyświetlony będzie brzmiał tak:
net::err_cert_weak_signature_algorithm
Takie podejście Google do tematu jest ściśle związane z zapisami dokumentu Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates, który jasno w punkcie 7.1.3 mówi:
Effective 1 January 2016, CAs MUST NOT issue any new Subscriber certificates or Subordinate CA certificates using the SHA‐1 hash algorithm.
Na uwadze należy mieć także następne planowane przez Google zmiany w tym zakresie. Warunki, które będą powodowały blokowanie strony są analogiczne jak te przedstawione powyżej z tym, że oprócz certyfikatów końcowych zostaną rozszerzone także na certyfikaty pośrednie.
Dalsze plany
W roku 2017 Google planuje całkowicie wyłączyć wsparcie dla certyfikatów SSL SHA-1. Zarówno tych końcowych jak i tych pośrednich. Takie same plany mają także Microsoft i Mozilla. Nie jest jednak wykluczone, że koniec certyfikatów SSL SHA-1 nadejdzie szybciej. Wszystko zależy od tego jak wyglądało będzie rzeczywiste zagrożenie stosowania certyfikatów SSL SHA-1.
Jednym słowem, wszędzie tam gdzie to tylko jest możliwe powinniśmy rozpocząć wykorzystywać certyfikaty SSL oparte o nowszą i bezpieczniejszą funkcję skrótu z rodziny SHA-2.