Kolejny etap wycofywania certyfikatów SSL SHA-1 w Chrome

Kolejny etap wycofywania certyfikatów SSL SHA-1 w Chrome

Ponad rok temu Google zapoczątkowało proces wycofywania certyfikatów SSL (TLS) SHA-1 poprzez wprowadzenie określonych ostrzeżeń w przeglądarce Chrome. Teraz czas na kolejny etap.

Co nowego w 2016?

Nowy roku z reguły przynosi wiele zmian i postanowień. Google kontynuuje swoje zeszłoroczne postanawienia czego wynikiem będą kolejne zmiany dotyczące certyfikatów SSL SHA-1 w 48 wersji Chrome. We wspomnianym wydaniu Chrome, którego premiera zaplanowana jest na początek nowego roku, blokowane będą strony WWW których końcowy certyfikat SSL będzie:

  • podpisany przy wykorzystaniu funkcji skrótu SHA-1;
  • ważny przynajmniej od 01.01.2016 (chodzi o datę początku ważności certyfikatu);
  • wystawiony przez Urząd Certyfikacji, któremu ufa Chrome.

Wejście na taką stronę będzie blokowane, gdy spełnione zostaną jednocześnie te trzy warunki. Szczegółowy komunikat błędu, który zostanie wyświetlony będzie brzmiał tak:

net::err_cert_weak_signature_algorithm

Komunikat błędu

Komunikat błędu

Takie podejście Google do tematu jest ściśle związane z zapisami dokumentu Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates, który jasno w punkcie 7.1.3 mówi:

Effective 1 January 2016, CAs MUST NOT issue any new Subscriber certificates or Subordinate CA certificates using the SHA‐1 hash algorithm.

Na uwadze należy mieć także następne planowane przez Google zmiany w tym zakresie. Warunki, które będą powodowały blokowanie strony są analogiczne jak te przedstawione powyżej z tym, że oprócz certyfikatów końcowych zostaną rozszerzone także na certyfikaty pośrednie.

Dalsze plany

W roku 2017 Google planuje całkowicie wyłączyć wsparcie dla certyfikatów SSL SHA-1. Zarówno tych końcowych jak i tych pośrednich. Takie same plany mają także Microsoft i Mozilla. Nie jest jednak wykluczone, że koniec certyfikatów SSL SHA-1 nadejdzie szybciej. Wszystko zależy od tego jak wyglądało będzie rzeczywiste zagrożenie stosowania certyfikatów SSL SHA-1.

Jednym słowem, wszędzie tam gdzie to tylko jest możliwe powinniśmy rozpocząć wykorzystywać certyfikaty SSL oparte o nowszą i bezpieczniejszą funkcję skrótu z rodziny SHA-2.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *