|
谷歌加入Mozilla,微软为推动早期sha - 1加密截止。灰鸽子下载,远程控制软件
浏览器制造商担心研究表明sha - 1甚至比此前认为的弱 灰鸽子。
谷歌正考虑禁止证书签署了sha - 1加密函数在Google Chrome从7月1日开始。此前类似的公告从Mozilla和微软在过去的两个月。
此前,浏览器厂商决定停止信任SHA-1-signed证书了HTTPS网站1月1日,2017年,一年之后政府应该停止发放新的证书。
然而,由于最近的研究显示,sha - 1比先前认为的要弱,Mozilla,现在微软和谷歌都是考虑将期限提前6个月。
“符合微软边缘和Mozilla Firefox,这个步骤的目标日期是1月1日,2017年,但是我们正在考虑将7月1日早些时候,2016年的持续研究,”Google Chrome团队成员卢卡斯Garron和大卫·本杰明说周五在一篇博客文章中。“因此,我们敦促网站尽快替换任何剩余的sha - 1证书。”
在此之前,从Chrome版本48,预计明年初的土地,浏览器将显示错误,如果证书由网站sha - 1签名和发行后1月1日2016年。
这是因为公共证书颁发机构(ca)不应该发行新SHA-1-signed证书日期。
在今年晚些时候,Chrome可能更新应用相同的治疗网站的证书链回中介与sha - 1签署证书。
像Facebook这样的网站和那些受CloudFlare保护实现了一个sha - 1回退机制。两家公司都认为,发展中国家有数百万人仍然使用的浏览器和操作系统不支持SHA-2,sha - 1的替代函数,因此将从加密的网站转移到SHA-2证书。
公司也希望中科院继续发行sha - 1证书到2016年,但只有网站所有者可以证明他们SHA-2证书服务现代浏览器,然后落到sha - 1只对老客户。
廉价的云计算的出现,近年来签署死刑执行令sha - 1,一个散列算法,可以追溯到1995年,是容易计算密集型的碰撞攻击可能导致伪造签名,因此证书。
而美国国家标准与技术研究院一直要求联邦机构应该远离sha - 1,SSL工业落后。
以至于在145000年9月几乎三分之一的最受欢迎的HTTPS-enabled网站还使用sha - 1证书。现在比例15%左右。
三年前,研究人员估计,实际攻击sha - 1使用商业云计算服务将会花费700000美元,到2015年,到173000年173000美元。
然而,在10月份,一群研究人员提出了一种新的方式来打破sha - 1,有望降低攻击的成本比预期要快多了。
是本研究浏览器制造商担忧,并促使他们考虑提前截止日期sha - 1证书。 |
|