谷歌正考虑从7月1日开始禁止在谷歌浏览器中使用SHA-1加密函数签名的证书。这是继Mozilla和微软过去两个月发布的类似声明。
浏览器供应商之前已决定在2017年1月1日停止信任由HTTPS网站提供的SHA-1签名证书,这一年证书颁发机构应该停止发布新证书。
但是,由于最近研究显示SHA-1比以前认为的弱,Mozilla,微软和谷歌现在都在考虑将截止日期提前六个月。
[更多阅读:如何从Windows PC删除恶意软件]“In与微软E一致dge和Mozilla Firefox,此步骤的目标日期为2017年1月1日,但考虑到正在进行的研究,我们正在考虑将其更早地移至2016年7月1日。“Google Chrome团队成员Lucas Garron和David Benjamin周五在博客中说道帖子。 “因此,我们敦促网站尽快更换所有剩余的SHA-1证书。”
在此之前,从预计于明年初登陆的Chrome 48版开始,如果证书服务的浏览器将显示错误网站拥有SHA-1签名,并于2016年1月1日后发布。这是因为公共证书颁发机构(CA)不应在该日期之后颁发新的SHA-1签名证书。
今年晚些时候,Chrome可能会进行更新,以便对网站证书应用相同的处理方式,以回溯到使用SHA-1签名的中间证书
类似Facebook的网站和受CloudFlare保护的网站实施了SHA-1回退机制。两家公司都认为,发展中国家仍有数百万人仍在使用浏览器和操作系统,这些浏览器和操作系统不支持SHA-2(SHA-1的替代功能),因此将从加密网站中切换到SHA- 2证书
这些公司还希望CA继续向2016年颁发SHA-1证书,但仅限于网站所有者证明他们为现代浏览器提供SHA-2证书并且仅在旧版本时才回退到SHA-1客户端。
近年来廉价云计算的出现已经签署了SHA-1的死亡证书,SHA-1是一种可追溯到1995年的散列算法,并且已知其易受计算密集型碰撞攻击的影响,因此可能导致签名,因此证书伪造
虽然美国国家标准与技术研究院长期以来要求联邦机构应该撤离SHA-1,但SSL行业已经落后,直到9月几乎没有在三个最受欢迎的145,000 HTTPS网站中,ne仍然使用SHA-1证书。
三年前,研究人员估计,到2015年对SHA-1的实际攻击将花费70万美元,使用商业云计算服务,到2018年将花费173,000美元。
然而,在10月份,的研究人员提出了一种打破SHA-1的新方法,该方法预计将比以前预期的更快地降低攻击成本。正是这项研究让浏览器制造商感到担忧,并促使他们考虑提前签署SHA-1证书截止日期。
