|
|
不像Mozilla,谷歌预期sha - 1错误引起的HTTPS交通检测系统 灰鸽子下载,灰鸽子。
谷歌计划仅禁止SHA-1-signed证书是在1月1日发布的公共证书颁发机构
本周早些时候,Mozilla被迫放宽禁止新sha - 1数字证书,因为此举完全切断一些Firefox用户从网络加密。看来谷歌看到的问题。
而不是禁止所有数字证书签发sha - 1和1月1日之后,谷歌计划只有“untrust”那些来自公共证书颁发机构。
这个决定考虑,一些公司可能仍然在他们的网络使用内部自发的sha - 1证书,或者一些杀毒软件和安全设备将继续检查HTTPS通信时生成这样的证书。
中间人HTTPS通信拦截隐私拥护者通常是不赞成,因为它打破了用户和服务器之间的信任。
因为,如果做不正确,会让用户严重的攻击。然而,它有一些可接受的使用。
例如,一些公司可能会安装HTTPS交通检测设备在网络边界,确保不泄露敏感的企业数据加密流量。
许多杀毒软件检查HTTPS使用中间人,直接在计算机上本地交通技术以检测是否为恶意软件通过这种连接。
这样的应用程序和系统对用户和网站之间的流量通过创建新证书这些连接使用自有ca(认证机构)。根证书的ca在默认情况下都是不可信的,所以他们需要手动部署在电脑和设备的流量被拦截,这样用户的浏览器会信任模拟网站与他们签署的证书。
sha - 1,一个老龄化的散列算法,在理论上被淘汰的过程,因为它是容易受到攻击,可能导致伪造的数字证书,这只是一个时间问题有人收益的能力。
因此,CA /浏览器论坛,一组证书颁发机构和浏览器制造商,集指南的发行和使用数字证书,决定新SHA-1-signed证书不应发表在1月1日,2016年。
sha - 1证书在这个日期之前至少将继续被信任,直到7月1日,2016年,根据不同的浏览器,但不迟于2017年1月1日。
Mozilla决定停止信任在Firefox sha - 1证书,发表在1月1日之后。乍一看,这不该有太大影响,因为信任公共ca不应该发行新证书后,日期。
然而,浏览器制造商没有考虑这一事实有些HTTPS检验系统和应用程序可能会继续生成sha - 1证书替代真正的网站。因为它开始收到报告用户的这种系统可以不再访问HTTPS网站,即使他们真正证书签署了更安全的SHA-2函数。
Mozilla决定解除禁止sha - 1,至少暂时在Firefox 43.0.4,周三公布的。
“最新版本的Firefox还可以重新开启支持sha - 1证书,以确保我们可以更新用户背后中间人设备,并使我们更好地评估有多少用户会受到影响,”该公司在一篇博客文章中说。“TLS中间人系统的供应商应该努力更新他们的产品使用更新的摘要算法。”
谷歌还计划禁止sha - 1证书后1月1日开始的下一个稳定版Chrome,48个版本。
然而,该公司12月在博客中表示,这只会禁止证书满足三个标准:签署了sha - 1,1月1日或之后的发行和链回公共CA。
“注意,网站使用sha - 1新证书链当地信任锚(而不是公共ca)将继续没有证书错误,”该公司表示。
因为自有根CA证书所使用的类似中间人HTTPS检查系统不是“公共”CAs,用户应该不会受到影响。
这可能是一个解决方案对Mozilla也当它决定恢复禁令 灰鸽子使用教程。 |
|
加载中...
发表于 2016-1-9 10:08:57
发表于 2016-1-9 10:08:58