Proces wycofywania SHA-1 w Chrome rozpoczęty

Proces wycofywania SHA-1 w Chrome rozpoczęty

Zgodnie z zapowiedziami wydana 25 listopada wersja Chrome oznaczona numerem 39 (39.0.2171.71) przynosi zmiany w traktowaniu certyfikatów SSL wykorzystujących do podpisu funkcję skrótu SHA-1.

Funkcja skrótu SHA-1 (Secure Hash Algorithm) wykorzystywana jest do cyfrowego podpisywania danych zawartych w certyfikacie x509. Obecnie algorytm ten uznawany jest powszechnie za coraz słabszy, dlatego też świat PKI rozpoczął proces migracji do bezpieczniejszych rozwiązań.

Czy zmiany dotkną wszystkich certyfikatów?

Nie. Zmiany dotyczą tylko certyfikatów SSL opartych o funkcję skrótu SHA-1 z datą końca ważności późniejszą niż 1 stycznia 2017r. Przypomnę, że informacja ta dotyczy wersji 39, o zmianach jakie czekają użytkowników kolejnych wydań Chrome wspomnę w dalszej części wpisu.

Na czy polega zmiana?

Strony z zainstalowanym certyfikatem SSL spełniającym warunki wymienione w poprzednim punkcie wyświetlane będą z żółtym trójkątem na kłódce:

20141125-chrome39_sha1

Chrome 39 – Certyfikaty SSL SHA-1

Witryna taka określana będzie jako „Bezpieczna, ale zawierająca niewielkie błędy”, które w przyszłości mogą stać się realnym zagrożeniem.

Na kłódce mojej witryny znajduje się żółty trójkąt…!

Jeżeli opisane wyżej zmiany dotknęły Waszą stronę należy zweryfikować czy używany certyfikat wpisuje się w założenia określone przez Google tj.:

  • wykorzystuje funkcję skrótu SHA-1 (sprawdzić należy pole Algorytm podpisu (signatureAlgorithm) w certyfikacie);
  • wygasa po 1 stycznia 2017r (sprawdzać należy pole Ważny do (notAfter)).

Dodatkowo po kliknięciu w kłódkę z żółtym trójkątem wyświetlona powinna zostać informacja o tym, że „witryna korzysta z nieaktualnych ustawień zabezpieczeń, które mogą uniemożliwić przyszłym wersjom Chrome bezpieczne jej otwieranie”.

Jeżeli chcemy wyeliminować odstraszający użytkowników trójkąt przy nazwie naszej domeny należy podmienić certyfikat na taki, który korzysta z bezpieczniejszej rodziny funkcji skrótu – SHA-2 (najczęściej będzie to SHA256). Większość CA wpiera już możliwość wydawania certyfikatów SSL opartych na funkcji skrótu SHA-2. Wymiana certyfikatu SHA-1 na SHA-2 zwykle jest darmowa. Drugą opcją jest wymiana certyfikatu, który także będzie korzystał z SHA-1, ale wygaśnie przed 2017r. Mając jednak na uwadze dalsze zmiany, które będą zachodziły w przeglądarce Chrome zdecydowanie lepszym wyborem jest przejście na certyfikat SHA-2.

Uwaga, może zdarzyć się, że wyświetlanie ostrzeżenia w postaci żółtego trójkąta nie jest związane z wykorzystywaną w certyfikacie funkcją skrótu, ale z zupełnie czymś innym. Jednym z takich powodów może być tzw. mixed content. W takim przypadku wymiana certyfikatu może nie być konieczna.

Dalsze zmiany w Chrome

Opisana zmiana to nie koniec procesu wycofywania wsparcia dla certyfikatów SSL opartych o SHA-1. Kolejne wersje przeglądarki Google będą rozszerzały zakres certyfikatów dla których pojawiały się będą się ostrzeżenia. I tak na przykład, wersja 40 obejmowała będzie już także certyfikaty wygasające w drugiej połowie 2016r., a 41 wszystkie z datą końca ważności równą 1 stycznia 2016r. i późniejszą.

Zmieniały będą się także graficznie reprezentacje ostrzeżeń. Od żółtego trójkąta, poprzez brak kłódki do przekreślonej na czerwono kłódki. Wszystkie te informacje zostały precyzyjnie opisane na blogu firmy z Mountain View.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *